Este defecto debe clasificarse por capacidad y explotabilidad .
La capacidad cae dentro de las siguientes categorías:
- La capacidad de alterar la información en el sistema que usted no debería poder.
- La capacidad de ver información en el sistema que no debería poder ver, por ejemplo, que se revele la información personal de una persona o se filtren credenciales (u otros elementos de información) que puedan ayudar a un atacante a obtener más acceso a la sistema.
- La capacidad de ver información incidental en el sistema que no debería poder, por ejemplo. la suma de los precios de los artículos en la cesta de otro usuario en un sitio de comercio electrónico.
- Sin habilidad.
La explotabilidad cae dentro de las siguientes categorías:
- Trivialmente explotable de una manera confiable, por ejemplo. el usuario del administrador siempre es ID 1, o los usuarios siempre reciben ID secuenciales.
- Moderadamente difícil de explotar, por ejemplo. tener que buscar en una secuencia de enteros de 24 bits los posibles identificadores.
- Difícil de explotar, por ejemplo. computar G n + 1 de G 0..n , donde G es un generador de números aleatorios de mala calidad.
- Imposible * para explotar, por ejemplo, el problema se compara con la fuerza bruta de un espacio de claves de 128 bits. (* imposible = altamente improbable y muy por fuera de la relación costo / beneficio para los atacantes)
Tenga en cuenta que esto no es una escala entera; siéntase libre de calificar algo como, por ejemplo, un 2.5 en capacidad.
El truco es que sin explotabilidad, la capacidad no tiene sentido, y sin capacidad, la explotabilidad no tiene sentido.
Para calificar esto, considere los puntos anteriores y compare sus calificaciones con la importancia del recurso protegido. Además, recuerde que las ID secuenciales facilitan el desarrollo, por lo que el análisis de riesgos debe tener esto en cuenta.
Como regla general, si está buscando algo que valga la pena proteger, y el promedio de los dos números es menor que 2, llámelo alto. Si es mayor que dos, es completamente subjetivo.
También le sugiero que eche un vistazo al Sistema de puntuación de vulnerabilidad común (CVSS) y NVD's < a href="http://nvd.nist.gov/cvss.cfm?calculator&version=2"> CVSSv2 calculator , que hace un gran trabajo de demostrar la evaluación de vulnerabilidad y la puntuación.