¿La eliminación no autorizada es un problema de integridad o disponibilidad?

26

Durante una prueba de aplicación web, he descubierto un problema de manipulación de parámetros que permite a un usuario eliminar los comentarios dejados por otros usuarios. No pueden modificar el contenido de los comentarios de otros usuarios, y solo pueden verlos cuando esto sea intencional.

Ahora estoy calculando el puntaje CVSS utilizando esta calculadora . Es bastante claro que el impacto de la confidencialidad es nulo, pero no estoy claro acerca de los demás.

Entonces, mi pregunta es: para el propósito de CVSSv3, ¿la eliminación no autorizada es un problema de integridad o un problema de disponibilidad (o ambos)?

    
pregunta paj28 15.12.2016 - 14:18
fuente

5 respuestas

32

Como se señala en esta pregunta (sin respuesta) , La disponibilidad en CVSSv3 es acerca de qué tan bien funciona el servicio web, no si sus datos está disponible:

  

Si bien las métricas de impacto de confidencialidad e integridad se aplican a la pérdida de confidencialidad o integridad de los datos (por ejemplo, información, archivos) utilizados por el componente afectado, esta métrica se refiere a la pérdida de disponibilidad del propio componente afectado, como Servicio en red (por ejemplo, web, base de datos, correo electrónico).

Para responder a su pregunta: solo la integridad es relevante aquí.

    
respondido por el Rhymoid 15.12.2016 - 19:59
fuente
12

Yo diría que presenta un claro problema de disponibilidad, ya que el atacante puede eliminar por completo ese recurso específico y evitar la capacidad de acceso de otros usuarios.

También diría que hay un problema de integridad también. La calculadora define una puntuación baja en integridad como "la modificación de los datos es posible", lo que yo diría que es ciertamente el caso aquí.

Para responder a su pregunta: Ambos. La calificación de los puntos depende de la importancia de esos comentarios para su aplicación.

    
respondido por el iainpb 15.12.2016 - 14:27
fuente
4

INTEGRIDAD

Después de la eliminación, el conjunto de datos resultante afirmará que nunca se dejó tal comentario. Esa afirmación es errónea.

    
respondido por el Billy C. 15.12.2016 - 22:25
fuente
1

Depende de si su servicio cuenta con extensos procedimientos de copia de seguridad. Si sus procedimientos de copia de seguridad tienen en cuenta errores y errores de usuario que podrían provocar la pérdida de datos, y el usuario envía una solicitud para que se restauren estos datos, o si descubre la vulnerabilidad y puede afirmar que todos los comentarios que se eliminaron incorrectamente todavía están disponibles en las copias de seguridad, se podría argumentar que es un problema de disponibilidad , ya que los datos simplemente no están disponibles temporalmente, hasta que un DBA los restaura. No es muy diferente de, digamos, hacer que todos los comentarios sean privados por accidente.

Solo cuando los registros se pierden permanentemente, se convierte en un problema simple y simple de integridad .

Además, podría haber problemas de confidencialidad si un atacante puede eliminar los comentarios que de otra manera no se les permite ver, ya que algunos metadatos se pueden inferir de la existencia (previa) del comentario, basado en por ejemplo en el número de secuencia de dicho comentario. Por ejemplo, podría inferir períodos de actividad o inactividad, la cantidad de comentarios que recibe un elemento ...

    
respondido por el sleblanc 15.12.2016 - 23:13
fuente
1

No estoy familiarizado con CVSS, pero como administrador de sistemas, consideraría que su problema es un problema de integridad, es decir, una parte del sistema puede afectar de manera incorrecta a otra parte. En su caso, ese usuario B puede eliminar los comentarios del usuario A.

Es poco probable que un administrador de sistemas pueda resolver este problema sin algunos cambios en la aplicación, pero se podría imaginar un problema similar en (por ejemplo) una unidad de red en un servidor de trabajo. El usuario A guarda un documento importante, pero el usuario B lo elimina (y nunca llega a las copias de seguridad nocturnas). Esto se trataría como un problema de integridad y encontraríamos una manera de separar a los usuarios de modo que el usuario A pueda leer / escribir en un área, pero B solo pueda leer desde esa área. No lo llamaríamos 'disponibilidad' porque la unidad de red funcionaba (como se anunciaba) en todo momento.

Esto también plantea la cuestión de "como se anuncia". El ejemplo de mi red compartida tiene algunos "términos de servicio" implícitos (digo implícito, porque no estoy seguro de que alguien los escriba), al igual que su aplicación web. Si bien es poco probable que muchas aplicaciones web que permitan a cualquier usuario eliminar el contenido de cualquier otro usuario se consideren terriblemente útiles, se podría argumentar que se supone que es así y que se necesita una capa adicional de software para separar el contenido de los usuarios. Esto es, en cierto modo, un argumento semántico, pero puede ayudar a comprender (al menos mi percepción) de "disponibilidad" frente a "integridad".

    
respondido por el Ralph Bolton 16.12.2016 - 16:39
fuente

Lea otras preguntas en las etiquetas