Preguntas con etiqueta 'risk-classification'

2
respuestas

¿Hay entradas comunes de debilidad (CWE) aplicables a las debilidades de seguridad del hardware?

Parece que no puedo encontrar un CWE adecuado para clasificar las debilidades de seguridad específicas del hardware. En particular, estoy buscando un CWE que se aplique a la falla de energía o la falla del reloj contra un microcontrolador o mi...
hecha 11.05.2017 - 12:27
1
respuesta

Escenario CVSS remoto o local

Tengo que lidiar con muchas puntuaciones de CVSSv2 y CVSSv3 durante muchos, muchos años. Lo que me preocupa para siempre es qué escenario de ataque predeterminado se definirá para una vulnerabilidad. Tomemos un documento de Office malicioso com...
hecha 12.05.2017 - 08:52
3
respuestas

Clasificación de riesgo de XSS autenticado

Durante una prueba de seguridad, me preguntaba cuál sería la clasificación de riesgo en una vulnerabilidad XSS autenticada. Entiendo que depende de los esquemas de clasificación, por lo que el enfoque en esta pregunta es "¿cuáles son los riesgos...
hecha 23.03.2017 - 13:14
1
respuesta

¿Pueden los riesgos de seguridad de la información esencialmente solo ser evaluados de acuerdo con el triángulo de la CIA?

¿Pueden los riesgos de seguridad de la información esencialmente ser evaluados de acuerdo con el triángulo de la CIA (Confidencialidad, integridad y disponibilidad) o existen otras posibilidades?     
hecha 22.02.2017 - 00:50
1
respuesta

Impacto de la inyección de SQL en la instrucción SELECT

Durante una prueba de penetración de rutina encontré una posibilidad de inyección SQL. Se aplican los siguientes criterios: Microsoft SQL Server (2016); La consulta debe comenzar con SELECT ; El punto y coma ; no puede rompe...
hecha 11.07.2018 - 19:17
1
respuesta

Registro de riesgos de seguridad

¿Alguien sabe de algún buen Registro de Riesgos para comenzar a registrar el riesgo de seguridad que se encuentra sobre la marcha? El problema que tengo es que encontramos mucho en un día, las cosas comienzan a perderse en los correos electró...
hecha 08.06.2018 - 21:47
2
respuestas

¿Cómo crear requisitos de seguridad no genéricos para una fase de idea?

Nuestro gerente a menudo nos pide una comprensión rápida de los riesgos que se basarán en alguna idea en la que el departamento ha estado trabajando durante la fase de creación de ideas (los requisitos comerciales generalmente están escritos per...
hecha 03.12.2018 - 16:50
3
respuestas

Si el impacto del riesgo (no la probabilidad o el riesgo general) se cuantifica por el impacto inicial, o si se cuantifica por el impacto final (potencial) [cerrado]

Estoy realizando una evaluación de riesgos y tratando de determinar el impacto del riesgo en la confidencialidad si un empleado de la empresa (específicamente un administrador del sistema) roba el hardware del servidor. Por un lado, el admi...
hecha 12.07.2017 - 13:39