Qual è il modo corretto per comprendere la complessità degli accessi in CVSS

Naviga le tue risposte
1

Ho letto Access Complexity da NVD ( link ),
[Access Complexity]

This metric measures the complexity of the attack required to exploit the vulnerability once an attacker has gained access to the target system.

Medium (M) : Some information must be gathered before a successful attack can be launched. Low (L): The attack can be performed manually and requires little skill or additional information gathering.

Ho una domanda: se una vulnerabilità è difficile da scoprire e l'hacker deve prima raccogliere determinate informazioni, ma la vulnerabilità è facile da sfruttare. Se la metrica di Access Complexity è "Bassa" in questo esempio, è ragionevole?

    
posta Matt Elson 23.03.2016 - 17:12
fonte

1 risposta

1

La complessità degli accessi è una metrica molto sovraccaricata e soggettiva in CVSS v2. Quando viene applicato, è impossibile stabilire se viene utilizzato per l'interazione dell'utente dall'ingegneria sociale, da una condizione di competizione, configurazione insolita, privilegi di avvio dell'attaccante o qualsiasi altra cosa. ( link )

Sei a conoscenza di CVSS versione 3 che è uscito l'anno scorso?

In CVSS versione 3, ora viene rinominato "Attack Complexity" e ha solo due valori metrici: Low e High.
Ora, è molto più facile scegliere tra due valori possibili. Va notato che qualsiasi "interazione dell'utente" non dovrebbe essere considerata mentre si valuta il parametro "Complessità di attacco". CVSS ha un nuovo parametro chiamato "Interazione utente" per incorporarlo.

Basso (CA): se l'attaccante può sfruttare in qualsiasi momento (XSS riflesso)

Alto (AC): esistono alcune condizioni al di fuori del controllo dell'attaccante. (ad esempio attacco da barboncino che richiede un attacco MITM)

    
risposta data 13.06.2016 - 14:02
fonte

Leggi altre domande sui tag

Quali sono i servizi comuni che vengono utilizzati impropriamente negli attacchi DDoS di amplificazione UDP? Quali sono i requisiti per diventare un servizio proxy o privacy WHOIS (non un registrar)?