Por favor, desarrolle el alcance, el componente vulnerable, el componente de impacto en CVSS v3 [cerrado]

-1

Estoy interesado en CVSS v3 pero no tengo suficientes conocimientos sobre seguridad o vulnerabilidades.

Leí la guía del usuario de CVSS v3 pero estoy tan confundido y no entiendo lo que significan:

  • alcance
  • componente vulnerable
  • componente de impacto

Por favor ayuda.

    
pregunta item 06.10.2016 - 15:22
fuente

1 respuesta

1

La forma más fácil de usar CVSS es usar una herramienta de cálculo como la de FIRST : observe que existen 3 componentes, la Base, el Temporal y el Ambiental. Muchas empresas solo usan la Base, por lo menos recomiendo eso para comenzar.

La spec tiene información muy detallada sobre cada componente, pero parafraseando las que le preocupan:

Ámbito: Esto es si el componente permite que el ámbito cambie, es decir, si permite salir de un entorno aislado o un entorno similarmente restringido o cambiar a un esquema de privilegios diferente. Por ejemplo, si un usuario pudiera obtener una clave de api destinada a la comunicación servidor-servidor, sería un cambio de alcance (en mi opinión, al menos, las puntuaciones de CVSS tienen un cierto nivel de subjetividad)

El Componente Vulnerable es la parte del software / sistema que es vulnerable a la explotación. Puede exponer otras partes del sistema, pero esta es la ruta del exploit en.

Un Componente de impacto sería cualquier parte del sistema que esté expuesta / hecha vulnerable por la explotación del Componente Vulnerable.

    
respondido por el crovers 06.10.2016 - 15:58
fuente

Lea otras preguntas en las etiquetas