punteggio CVSS per la convalida senza input

0

Durante un test di sicurezza ho scoperto che un'applicazione ha scritto JavaScript dai campi di input direttamente nel database. L'applicazione in sé aveva una buona sanitizzazione dell'output, quindi nessun XSS era possibile in quella applicazione. Un'applicazione diversa che utilizzava gli stessi dati non aveva una buona sanitizzazione dell'output e aveva una vulnerabilità XSS, che è stata riparata da allora.

Quindi, wat I have now è una constatazione che i dati di input non sono validati correttamente, il che potrebbe porre problemi per le applicazioni che non disinfettano bene l'output ma non nell'applicazione corrente. Quale punteggio CVSS avrei messo su questo? Non riesco a renderlo vulnerabile perché è impossibile sfruttarlo ora. Ma in futuro potrebbe porre problemi e io lo voglio fissato nel contesto di "difesa in profondità"

Domanda: quale sarebbe il punteggio CVSS per una vulnerabilità di validazione dell'input non sfruttabile?

    
posta Wealot 09.05.2017 - 09:38
fonte

1 risposta

1

Il punteggio sarebbe 0.0. Poiché non vi è alcun impatto immediato, la riservatezza, l'integrità e la disponibilità sarebbero impostate su nessuno , il che renderebbe il punteggio 0.0.

Inoltre, non è necessariamente un problema di sicurezza che l'input dell'utente viene salvato così come è nel database. L'importante è che sia codificato correttamente sull'output.

    
risposta data 09.05.2017 - 09:46
fonte

Leggi altre domande sui tag