Clasificación de riesgo de vulnerabilidades comunes de SSL / TLS

1

Estoy trabajando en un proyecto escolar, que es una herramienta que genera informes de auditoría de seguridad en PDF.

Actualmente estoy usando testssl.sh que verifica las vulnerabilidades de SSL / TLS

Cuando se identifica una vulnerabilidad, quiero indicar al usuario cuán importante es la amenaza a la confidencialidad y lo fácil que es explotarla.

Hice esta tabla hace unos días y, de acuerdo con el sistema de puntuación CVSS v2, la gravedad de la mayoría de las vulnerabilidades es Media, y muchas vulnerabilidades comparten las mismas puntuaciones. Me confundí sobre cómo calificar estas vulnerabilidades según el impacto / explotabilidad y si una vulnerabilidad es una amenaza real.

¿Hay alguna forma de clasificar estas vulnerabilidades en categorías de riesgo (es decir, baja, media, alta) para mostrar al usuario la gravedad de la vulnerabilidad detectada?

    
pregunta WinkoBit 21.02.2017 - 11:55
fuente

2 respuestas

1

Primero, seleccionaste una gran idea para un proyecto. Escanear un sitio HTTPS y generar un informe sobre las vulnerabilidades con la pila SSL / TLS específica es lo suficientemente pequeño como para ser factible y útil.

El problema con la clasificación LOW / MEDIUM / HIGH para estas vulnerabilidades es que algunas de ellas son realmente fáciles de lograr, como el corazón, pero el resultado no siempre es muy útil. De nuevo, en el caso de Heartbleed, puedes leer algo de memoria, pero no controlas lo que se lee. podría revelar un certificado o ID de sesión, pero probablemente será más basura que cualquier otra cosa útil. Es por eso que su explotabilidad se clasificó en 10, pero el impacto fue bajo de 2.9.

Algunas veces tiene el opuesto, donde una configuración incorrecta que no es común le dará acceso remoto a la raíz, pero las condiciones para explotarlo con éxito son difíciles. Esto le daría un bajo puntaje de explotabilidad, pero un alto impacto

Debería considerar el uso de una fórmula estándar, para determinar el riesgo, como el de OWASP . Riesgo = Probabilidad * Impacto

Tienenunmodelomáscomplejoparadeterminarlagravedad:

    
respondido por el Nik Roby 24.04.2017 - 01:25
fuente
0
  

Como usted dijo, el sistema CVSS me parece un poco incorrecto al evaluar las vulnerabilidades de SSL / TLS y no estoy contento con eso.

El sistema CVSS normalmente usa esto para desarrollar la puntuación original. Si no te gusta cómo se anota el baloncesto, ¿buscas una alternativa? Así es como es, si no te gusta, puedes construir el tuyo, pero ¿con qué autoridad deberías confiar en ti sobre el puntaje de CVSS?

No estoy diciendo que CVSS tenga razón, pero es lo que se usa y se considera el estándar.

  

Tenía la esperanza de encontrar pistas sobre la facilidad con que se pueden explotar las vulnerabilidades en la vida real y si una vulnerabilidad es teórica o requiere grandes recursos y, por lo tanto, puedo calificar cada una de ellas: bajo, medio o alto riesgo

Le sugeriría buscar en Google una vulnerabilidad específica que despierte su interés, busque un código PoC y configure un servidor vulnerable. Juega con él y ve qué / cómo puedes hacer que funcione. Esto también podría darle una idea de cómo se estableció la puntuación para una vulnerabilidad.

    
respondido por el Andrew 24.03.2017 - 17:11
fuente

Lea otras preguntas en las etiquetas