Elaborare ambito, componente vulnerabile, componente di impatto in CVSS v3 [chiuso]

-1

Sono interessato a CVSS v3 ma non ho abbastanza conoscenza sulla sicurezza o sulle vulnerabilità.

Ho letto la guida utente CVSS v3 ma sono così confuso e non capisco cosa intendano per:

  • portata
  • componente vulnerabile
  • componente di impatto

Aiuta l'aiuto.

    
posta item 06.10.2016 - 15:22
fonte

1 risposta

1

Il modo più semplice per utilizzare CVSS è utilizzare uno strumento di calcolo come FIRST - notate che ci sono 3 componenti, Base, Temporale e Ambiente. Molte aziende usano solo la Base - lo consiglio per iniziare almeno.

La specifica ha informazioni molto dettagliate su ciascun componente, ma per parafrasare per quelli che ti preoccupano:

Ambito: questo è se il componente consente di modificare l'ambito, ovvero se consente di uscire da una sandbox o un ambiente con restrizioni simili o di passare a uno schema di privilegi diverso. Ad esempio, se un utente fosse in grado di ottenere una chiave API che è destinata alla comunicazione server-server, sarebbe un cambiamento di ambito (a mio parere, almeno - i punteggi CVSS hanno un certo livello di soggettività nei loro confronti)

Il componente vulnerabile è la parte del software / sistema che è vulnerabile all'exploit. Può esporre altri pezzi del sistema, ma questo è il percorso dello sfruttamento in.

Un Componente di Impatto sarebbe qualsiasi pezzo del sistema che è esposto / reso vulnerabile dall'uso del Componente Vulnerabile.

    
risposta data 06.10.2016 - 15:58
fonte

Leggi altre domande sui tag