CVSS,全称Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度” 。
CVSS是安全内容自动化协议(SCAP) 的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。
1.度量(Metrics)
CVSS3.0由三个基本尺度组成,
基本(Base):代表着漏洞的原始属性,不受时间与环境的影响,又由Exploitability可执行性与影响程度Impact 度量。
时间(Temporal):反应漏洞随着时间推移的影响而不受环境影响,举个简单的例子,随着一个漏洞软件的补丁不断增加,该漏洞的CVSS分数会随之减少。
环境(Environmental):代表特定环境下执行漏洞的分数,允许根据相应业务需求提高或者降低该分值。
2.分数(Scoring)
Base分值由专业的分析人员给出,分数在0.0-10.0之间,可以在美国国家漏洞数据库官网上搜到相应CVE漏洞的分值
3.Base Merics具体计算方法
3.1 Exploitability可执行性块
***向量(AV) |
网络(N)/邻居(A)/本地(L)/物理(P) |
0.85 / 0.62 / 0.55 / 0.2 |
***复杂度(AC) |
低(L)/高(H) |
0.77 / 0.44 |
权限要求(PR) |
无(N)/低(L)/高(H) |
0.85 / 0.62(0.68) / 0.27(0.50) |
用户交互(UI) |
不需要(N)/需要(R) |
0.85 / 0.62 |
影响范围(UI) |
不改变(U)/改变(C) |
根据Impact sub score和ISC取值 |
3.2 Impact影响指标
机密性(C) |
无(N)/低(L)/高(H) |
0 / 0.22 / 0.56 |
完整性(I) |
无(N)/低(L)/高(H) |
0 / 0.22 / 0.56 |
可用性(A) |
无(N)/低(L)/高(H) |
0 / 0.22 / 0.56 |
4.Time具体计算方法
利用代码的成熟度(E) |
未验证(U)/PoC(P)/EXP(F)/自动化利用(H) |
0.91 / 0.94 / 0.97 / 1 |
修复方案(RL) |
正式补丁(O)/临时补丁(T)/缓解措施(W)/不可用(U) |
0.95 / 0.96 / 0.97 / 1 |
来源可信度(RC) |
未知(U)/未完全确认(R)/已确认(C) |
0.92 / 0.96 / 1 |
5.Environmental具体计算方法
环境分数(可选) | |
机密性要求(CR) |
未定义(X) 低(L) 中(M) 高(H) |
完整性要求(IR) |
未定义(X) 低(L) 中(M) 高(H) |
可用性要求(AR) |
未定义(X) 低(L) 中(M) 高(H) |
|
修改基础度量指标
(Modified Base Metrics) |
Modified Attack Vector (MAV) |
详细信息可查看CVSS 3.0 官网:https://www.first.org/cvss/specification-document
举例:某主机的漏扫结果如下:
以上可以通过CVSS的值来查看漏洞的风险等级。
以上可以通过CVSS的值来查看漏洞的风险等级。