Preguntas con etiqueta 'cvss'

preguntas con etiqueta
1
respuesta

Escenario CVSS remoto o local

Tengo que lidiar con muchas puntuaciones de CVSSv2 y CVSSv3 durante muchos, muchos años. Lo que me preocupa para siempre es qué escenario de ataque predeterminado se definirá para una vulnerabilidad. Tomemos un documento de Office malicioso com...
hecha 12.05.2017 - 08:52
2
respuestas

¿Cómo convertir las puntuaciones de riesgo (CVSSv1, CVSSv2, CVSSv3, OWASP Severidad del riesgo)?

¿Existe un método o una fórmula precisa para convertir los puntajes de riesgo entre la Metodología de Calificación de Riesgo de OWASP (Gravedad de Riesgo General) y los puntajes base CVSS v1, v2 y v3))? ¿Además de convertir los puntajes entre...
hecha 17.06.2016 - 16:36
1
respuesta

¿Por qué cambian los puntajes de CVSS?

En la página de la Base de datos de vulnerabilidad nacional ( enlace ), desde el Si cambiamos el historial, podemos ver que CVSS v3 ha cambiado las horas extraordinarias. Por ejemplo, CVE-2016-0778 tiene este puntaje CVSS cuando se agregó: %códi...
hecha 19.03.2017 - 20:12
1
respuesta

Datos Temporales CVSS

El estándar CVSS tiene un componente "temporal" que modela el riesgo cambiante asociado con una vulnerabilidad en el tiempo, como la publicación de un exploit operativo. Pero el NVD de NIST no proporciona ese tipo de información temporal. ¿Co...
hecha 24.04.2012 - 20:42
1
respuesta

Nivel de remediación de CVSS para Git Commit

¿Qué selecciona como nivel de remediación si solo está disponible una confirmación Git? Un escenario muy común para esto son las vulnerabilidades en el kernel de Linux, antes de que una solución se convierta en parte de la rama estable, solo...
hecha 15.06.2016 - 11:01
3
respuestas

Decidir el parámetro de alcance CVSS v3 para algunas de las 10 principales vulnerabilidades de OWASP

Estoy tratando de obtener un puntaje en el top 10 en cvss v3 y tengo dificultades para asignar el parámetro "alcance" para algunos. Por favor, corrija la siguiente lista si hay algunas fallas. Inyección SQL: modificado. Componente vulnerab...
hecha 05.07.2016 - 14:28
1
respuesta

¿Cómo calcular el CVSS de un ataque para que coincida con los de los CVE?

Dibujé un gráfico de ataque para una aplicación para compartir archivos (por ejemplo, Dropbox) donde una base de datos almacena detalles de máquinas virtuales, por ej. espacio de memoria restante, etc. He enumerado algunos posibles ataques:...
hecha 13.02.2014 - 20:13
2
respuestas

¿El puntaje de impacto CVSS corresponde a la probabilidad?

De enlace , noté que el estándar CVSS atribuye los siguientes valores de impacto para la confidencialidad, integridad y disponibilidad:    0 para el impacto none , 0.275 para el impacto partial y 0.66 para...
hecha 24.06.2012 - 12:27
0
respuestas

¿La capacidad de eliminar datos afecta la disponibilidad en CVSS v2?

NIST SP 800-33 2.0.1 dice que "disponibilidad" parte de la tríada de la CIA protege contra intentos intencionales o accidentales de: realizar la eliminación no autorizada de datos o de lo contrario, causará una denegación de servicio o d...
hecha 17.08.2016 - 20:34
1
respuesta

¿Diferencia entre el vector de ataque local y físico en la versión 3 de CVSS?

En CVSS versión 3, hay cuatro vectores de ataque diferentes. No soy capaz de diferenciar entre lo local y lo físico. Diga, si quiero informar "ausencia de botón de cierre de sesión" usaré el físico como vector de acceso. ¿En qué casos puedo...
hecha 01.06.2016 - 10:41