¿Qué significa "alcance" en CVSS v3?

Navega tus respuestas
1

En CVSS v3, el "alcance" indica si una vulnerabilidad en una aplicación afecta a los recursos más allá de sus posibilidades. Puede tener los valores "cambiados" o "sin cambios".

No entiendo completamente cuando se cambia el alcance. Por ejemplo, en los ejemplos de CVSS , un XSS ha cambiado el alcance porque una vulnerabilidad en la aplicación afecta el navegador del usuario. Pero con XSS, solo puede ejecutar Javascript dentro del contexto de la aplicación, algo que la aplicación podría hacer en primer lugar. No me parece que esto afecte a los recursos más allá de sus medios.

Y la vulnerabilidad CSRF de ejemplo tiene un alcance sin cambios, aunque al igual que el XSS, activa el comportamiento en el navegador.

¿Qué significa cuando el alcance se cambia o no se modifica?

De la documentación se desprende que el alcance se modifica cuando la vulnerabilidad atraviesa las autoridades de autorización. ¿Qué es una "autoridad de autorización"?

    
pregunta Sjoerd 06.06.2017 - 14:49
fuente

1 respuesta

2

Se produce un ataque XSS cuando envía una entrada al servidor y el servidor devuelve su entrada como respuesta sin validarla. En este caso, la vulnerabilidad está en la página web del servidor (falta de validación) y esta página web es su autoridad de alcance. Sin embargo, el ataque no compromete la página web en sí. Se compromete el navegador del usuario. Aquí es donde está ocurriendo el cambio de alcance. En un ataque CSRF, la vulnerabilidad está nuevamente en la página web (sin tokens de autorización), pero en este caso el ataque no compromete el navegador del usuario, compromete solo la página web en particular con la vulnerabilidad, porque una solicitud diseñada solo funcionará en el sitio. Sitio web específico para el que fue creado, por lo tanto, el alcance no ha cambiado. (La vulnerabilidad y el compromiso están en el mismo componente). Creo que anon en su comentario explicó perfectamente lo que es la autorización de autorización. Pero espero que esto te dé más claridad.

    
respondido por el Kotzu 06.06.2017 - 16:09
fuente

Lea otras preguntas en las etiquetas

Symantec: al reemplazar un certificado SSL, ¿durante cuánto tiempo es válido el certificado existente? ¿Por qué la descarga de Java solo se ofrece a través de HTTP, no HTTPS? [cerrado]