Common SSL / TLS Vulnerabilità classificazione dei rischi

Naviga le tue risposte
1

Sto lavorando a un progetto scolastico, che è uno strumento che genera report di controllo della sicurezza in PDF.

Attualmente sto utilizzando testssl.sh che controlla le vulnerabilità SSL / TLS

Quando viene identificata una vulnerabilità, voglio indicare all'utente quanto sia importante la minaccia per la riservatezza e quanto sia facile sfruttarla.

Ho creato questa tabella alcuni giorni fa e, secondo il sistema di punteggio CVSS v2, la maggior parte della gravità delle vulnerabilità è Media e molte vulnerabilità condividono gli stessi punteggi. Mi sono confuso su come valutare queste vulnerabilità sulla base di Impact / Exploitability e se una vulnerabilità è una vera minaccia.

Esiste un modo per classificare queste vulnerabilità in categorie di rischio (ad esempio Basso, Medio, Alto) per mostrare all'utente quanto è grave una vulnerabilità rilevata?

    
posta WinkoBit 21.02.2017 - 11:55
fonte

2 risposte

1

In primo luogo, hai selezionato una grande idea per un progetto. Scansionare un sito HTTPS e generare un report sulle vulnerabilità con lo stack specifico SSL / TLS è abbastanza piccolo da essere fattibile e utile ancora.

Il problema con la classificazione LOW / MEDIUM / HIGH per queste vulnerabilità è che alcune di esse sono davvero facili da eseguire, come il heartbleed, ma il risultato non è sempre molto utile. Di nuovo, nel caso di Heartbleed, si legge qualche memoria, ma non si controlla ciò che viene letto. potrebbe rivelare un certificato o un ID di sessione, ma probabilmente sarà più spazzatura di qualsiasi cosa utile. Questo è il motivo per cui Exploitability era valutato a 10, ma l'impatto era basso 2.9.

A volte si ha il contrario, in cui una configurazione errata che non è comune consente l'accesso root remoto, ma le condizioni per sfruttarlo con successo sono difficili. Questo ti darebbe un basso punteggio di exploitablity, ma di grande impatto

Dovresti prendere in considerazione l'utilizzo di una formula standard per determinare il rischio come quello di OWASP . Rischio = Probabilità * Impatto

Hannounmodellopiùcomplessoperdeterminarelagravità:

    
risposta data 24.04.2017 - 01:25
fonte
0

Like you said, I find the CVSS system a bit inaccurate when evaluating SSL/TLS vulnerabilities and I'm not happy about it.

Il sistema CVSS in genere lo usa già per sviluppare il punteggio originale. Se non ti piace come viene segnato il basket, cerchi un'alternativa? Questo è il modo in cui è, se non ti piace, puoi costruirne uno tuo, ma su chi è l'autorità dovrebbe fidarsi di te sul punteggio CVSS?

Non sto dicendo che CVSS ha ragione, ma è quello che viene usato e considerato lo standard.

I was hoping to find leads here on how easy each vulnerabilities can be exploited in real life and whether a vulnerability is theoretical or require huge ressources and accordingly I can rate each one: Low, Medium or High risk

Suggerirei Googling per una vulnerabilità specifica che fa aumentare il tuo interesse, cercare un codice PoC e configurare un server vulnerabile. Gioca con esso e vedi cosa / come puoi farlo funzionare. Questo potrebbe anche darti un'idea di come il punteggio è stato impostato per una vulnerabilità.

    
risposta data 24.03.2017 - 17:11
fonte

Leggi altre domande sui tag

Verifica dei comandi a una via con 2 chiavi private informazioni crittografate che non sono accessibili agli amministratori di database