Questa vulnerabilità dovrebbe essere valutata con capacità e sfruttabilità .
La capacità rientra nelle seguenti categorie:
- La possibilità di modificare le informazioni sul sistema che non dovresti essere in grado di
- La capacità di visualizzare le informazioni sul sistema che non dovresti essere in grado, in modo che le informazioni personali di una persona siano rivelate, o le credenziali (o altri elementi di informazione) siano trapelate che potrebbero aiutare un utente malintenzionato a ottenere un ulteriore accesso al sistema.
- La possibilità di visualizzare informazioni accidentali sul sistema che non dovresti essere in grado, ad es. la somma dei prezzi degli articoli nel carrello di un altro utente su un sito di e-commerce.
- Nessuna abilità.
L'exploit rientra nelle seguenti categorie:
- Trivially exploitable in maniera affidabile, ad es. l'utente admin è sempre ID 1, oppure gli ID vengono sempre assegnati in sequenza.
- Moderatamente difficile da sfruttare, ad es. dover cercare attraverso una sequenza di numeri interi a 24 bit per potenziali identificatori.
- Difficile da sfruttare, ad es. calcolo G n + 1 da G 0..n , dove G è un generatore di numeri casuali di scarsa qualità.
- Impossibile * da sfruttare, ad es. il problema equivale a forzare brutalmente uno spazio delle chiavi a 128 bit. (* impossibile = altamente improbabile, e al di fuori del rapporto costi / benefici per gli aggressori)
Si noti che questa non è una scala intera - sentiti libero di valutare qualcosa come, ad esempio, una capacità di 2.5 pollici.
Il trucco è che senza sfruttamento, la capacità è inutile e senza capacità, la sfruttabilità non ha senso.
Per valutare questo, prendi in considerazione i punti precedenti e confronta le tue valutazioni con l'importanza della risorsa protetta. Ricorda inoltre che gli ID sequenziali semplificano lo sviluppo, pertanto l'analisi del rischio dovrebbe tenerne conto.
Come regola generale, se stai guardando qualcosa che vale la pena proteggere e la media media dei due numeri è inferiore a 2, chiamala alta. Se è maggiore di due, è del tutto soggettivo.
Suggerisco anche di dare un'occhiata al Sistema di valutazione delle vulnerabilità comuni (CVSS) e NVD < a href="http://nvd.nist.gov/cvss.cfm?calculator&version=2"> Calcolatore CVSSv2 , che svolge un ottimo lavoro nel dimostrare la valutazione della vulnerabilità e il punteggio.