通用漏洞评估方法CVSS3.0

CVSS,全称Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”  。

CVSS是安全内容自动化协议(SCAP)  的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。

 

1.度量(Metrics)

CVSS3.0由三个基本尺度组成,

基本(Base):代表着漏洞的原始属性,不受时间与环境的影响,又由Exploitability可执行性与影响程度Impact 度量。

时间(Temporal):反应漏洞随着时间推移的影响而不受环境影响,举个简单的例子,随着一个漏洞软件的补丁不断增加,该漏洞的CVSS分数会随之减少。

环境(Environmental):代表特定环境下执行漏洞的分数,允许根据相应业务需求提高或者降低该分值。

2.分数(Scoring)

Base分值由专业的分析人员给出,分数在0.0-10.0之间,可以在美国国家漏洞数据库官网上搜到相应CVE漏洞的分值

3.Base Merics具体计算方法

3.1 Exploitability可执行性块

***向量(AV)

网络(N)/邻居(A)/本地(L)/物理(P)

0.85 /   0.62 / 0.55 / 0.2

***复杂度(AC)

低(L)/高(H)

0.77 /   0.44

权限要求(PR)

无(N)/低(L)/高(H)

0.85 / 0.62(0.68) /   0.27(0.50)

用户交互(UI)

不需要(N)/需要(R)

0.85 /   0.62

影响范围(UI)

不改变(U)/改变(C)

根据Impact sub   scoreISC取值

3.2 Impact影响指标

机密性(C)

无(N)/低(L)/高(H)

0 / 0.22   / 0.56

完整性(I)

无(N)/低(L)/高(H)

0 / 0.22   / 0.56

可用性(A)

无(N)/低(L)/高(H)

0 / 0.22   / 0.56

4.Time具体计算方法

利用代码的成熟度(E)

未验证(U)/PoC(P)/EXP(F)/自动化利用(H)

0.91 / 0.94 / 0.97 / 1

修复方案(RL)

正式补丁(O)/临时补丁(T)/缓解措施(W)/不可用(U)

0.95 /   0.96 / 0.97 / 1

来源可信度(RC)

未知(U)/未完全确认(R)/已确认(C)

0.92 / 0.96 / 1

5.Environmental具体计算方法

环境分数(可选)

机密性要求(CR)

未定义(X) 低(L) 中(M) 高(H)

完整性要求(IR)

未定义(X) 低(L) 中(M) 高(H)

可用性要求(AR)

未定义(X) 低(L) 中(M) 高(H)

修改基础度量指标

 

(Modified   Base Metrics)

Modified Attack Vector (MAV)
  Modified Attack Complexity (MAC)
  Modified Privileges Required (MPR)
  Modified User Interaction (MUI)
  Modified Scope (MS)
  Modified Confidentiality (MC)
  Modified Integrity (MI)
  Modified Availability (MA)

 

 

 

 

 

 

 

详细信息可查看CVSS 3.0 官网:https://www.first.org/cvss/specification-document

 

 

举例:某主机的漏扫结果如下:

 通用漏洞评估方法CVSS3.0

 

通用漏洞评估方法CVSS3.0

 

以上可以通过CVSS的值来查看漏洞的风险等级。

通用漏洞评估方法CVSS3.0

以上可以通过CVSS的值来查看漏洞的风险等级。


上一篇:.NET Core 使用 EF Core 之Code First


下一篇:HTTP缓存机制的Etag、Last-Modified、If-None-Match和If-Modified-Since、Expires和Cache-Control笔记