Domande con tag 'cvss'

domande con tag
1
risposta

CVSS Score Remote o Local Scenario

Ho a che fare con molti punteggi CVSSv2 e CVSSv3 per molti, molti anni. Ciò che mi disturba come sempre è lo scenario di attacco predefinito che deve essere definito per una vulnerabilità. Prendiamo un documento di Office dannoso come esempio ....
posta 12.05.2017 - 08:52
2
risposte

Come convertire i punteggi di rischio (CVSSv1, CVSSv2, CVSSv3, rischio di rischio OWASP)?

Esiste un metodo o una formula accurata per convertire i punteggi di rischio tra il metodo di valutazione del rischio OWASP (livello di rischio generale) e il punteggio base CVSS v1, v2 e v3)? Oltre a convertire i punteggi tra le diverse vers...
posta 17.06.2016 - 16:36
1
risposta

Perché i punteggi CVSS cambiano?

Nella pagina del database delle vulnerabilità nazionali ( link ), dal cronologia delle modifiche, possiamo vedere i punteggi CVSS v3 è stato cambiato nel tempo straordinario. Ad esempio, CVE-2016-0778 ha questo punteggio CVSS quando è stato aggi...
posta 19.03.2017 - 20:12
1
risposta

Dati temporali CVSS

Lo standard CVSS ha una componente "temporale" che modella il cambiamento del rischio associato a una vulnerabilità nel tempo, come la pubblicazione di un exploit di lavoro. Ma NVD del NIST non fornisce quel tipo di informazioni temporali. Co...
posta 24.04.2012 - 20:42
1
risposta

Livello di riparazione CVSS per Git Commit

Che cosa selezioni come livello di riparazione se è disponibile solo un commit Git? Uno scenario molto comune per questo sono le vulnerabilità nel kernel di Linux, prima che una correzione diventi parte del ramo stabile è disponibile solo com...
posta 15.06.2016 - 11:01
3
risposte

Decidere il parametro dell'oscilloscopio CVSS v3 per alcune delle principali 10 vulnerabilità OWASP

Sto cercando di assegnare owasp top 10 su cvss v3 e ho difficoltà ad assegnare il parametro "scope" per alcuni. Correggi l'elenco qui sotto se ci sono dei difetti. Iniezione SQL: modificato. Componente vulnerabile: server Web / server di d...
posta 05.07.2016 - 14:28
1
risposta

Come calcolare il CVSS di un attacco in modo che corrisponda a quelli in CVE?

Ho disegnato un grafico di attacco per un'applicazione di condivisione file (ad esempio Dropbox) in cui un database memorizza i dettagli delle macchine virtuali, ad es. spazio di memoria rimasto, ecc. Ho elencato alcuni possibili attacchi: L...
posta 13.02.2014 - 20:13
2
risposte

Il punteggio di impatto CVSS corrisponde alla probabilità?

Da link , ho notato che lo standard CVSS attribuisce i seguenti valori di impatto per riservatezza, integrità e disponibilità: 0 for none impact,0.275 for partial impact and0.66 for complete impact. La mia domanda è la seguente: quali s...
posta 24.06.2012 - 12:27
0
risposte

La capacità di eliminare la disponibilità dell'impatto dei dati in CVSS v2?

NIST SP 800-33 2.0.1 dice che "disponibilità" parte della triade della CIA protegge da tentativi intenzionali o accidentali di: eseguire la cancellazione non autorizzata di dati o altrimenti causa un rifiuto del servizio o dei dati Ci...
posta 17.08.2016 - 20:34
1
risposta

Differenza tra vettore di attacco locale e fisico in CVSS versione 3?

Nella CVSS versione 3, ci sono quattro diversi vettori di attacco. Non sono in grado di distinguere tra locale e fisico. Di ', se voglio segnalare "assenza del pulsante di logout" userò il fisico come vettore di accesso. In quali casi posso...
posta 01.06.2016 - 10:41