Domande con tag 'risk-classification'

2
risposte

Esistono voci di debolezza comune (CWE) applicabili alle carenze di sicurezza dell'hardware?

Non riesco a trovare un CWE adatto per classificare i punti deboli di sicurezza specifici dell'hardware. In particolare, sto cercando un CWE che si applica al power glitching o al clock glitching contro un microcontrollore o un microprocessore...
posta 11.05.2017 - 12:27
1
risposta

CVSS Score Remote o Local Scenario

Ho a che fare con molti punteggi CVSSv2 e CVSSv3 per molti, molti anni. Ciò che mi disturba come sempre è lo scenario di attacco predefinito che deve essere definito per una vulnerabilità. Prendiamo un documento di Office dannoso come esempio ....
posta 12.05.2017 - 08:52
3
risposte

Classificazione del rischio di XSS autenticato

Durante un test di sicurezza mi chiedevo quale sarebbe stata la classificazione del rischio in una vulnerabilità XSS autenticata. Comprendo che dipende dagli schemi di classificazione, quindi l'attenzione in questa domanda è "quali sono i rischi...
posta 23.03.2017 - 13:14
1
risposta

I rischi per la sicurezza delle informazioni possono essere risolti essenzialmente solo in base al triangolo della CIA?

I rischi per la sicurezza delle informazioni possono essere risolti solo in base al triangolo CIA (Riservatezza, integrità e disponibilità) o ci sono altre possibilità?     
posta 22.02.2017 - 00:50
1
risposta

Impatto dell'iniezione SQL sull'istruzione SELECT

Durante un test di penetrazione di routine ho riscontrato una possibilità per l'iniezione SQL. Si applicano i seguenti criteri: Microsoft SQL Server (2016); La query deve iniziare con SELECT ; Il punto e virgola ; non può interr...
posta 11.07.2018 - 19:17
2
risposte

Registro dei rischi per la sicurezza

Qualcuno sa di buoni Registri di rischio per iniziare a registrare i rischi per la sicurezza che si trovano al volo? Il problema che sto avendo è che troviamo così tanto in un giorno, le cose cominciano a perdersi nelle e-mail e tendiamo a di...
posta 08.06.2018 - 21:47
2
risposte

Come creare requisiti di sicurezza non generici per una fase di idea?

Il nostro manager ci chiede spesso una rapida comprensione di quali rischi si baseranno su alcune idee su cui il dipartimento ha lavorato durante la fase di ideazione (i requisiti aziendali sono generalmente scritti ma nessun impianto è stato es...
posta 03.12.2018 - 16:50
3
risposte

L'impatto iniziale dovrebbe essere quantificato dall'impatto iniziale (o probabilità o rischio complessivo) o dovrebbe essere quantificato dall'impatto (potenziale) finale [chiuso]

Sto effettuando una valutazione del rischio e sto cercando di definire l'impatto del rischio sulla riservatezza se un dipendente dell'azienda (in particolare un amministratore di sistema) ruba l'hardware del server. Da un lato, l'amministra...
posta 12.07.2017 - 13:39