通用漏洞评估方法CVSS3.0介绍
CVSS(Common Vulerability Scoring System, 通用漏洞评估方法),是由NIAC 发布、FITST维护的开放式行业标准,CVSS 的发布为信息安全产业从业人员交流网络中所存在的系统漏洞的特点与影响提供了一个开放式的评价方法。
1.度量(Metrics)
CVSS3.0由三个基本尺度组成,
基本(Base):代表着漏洞的原始属性,不受时间与环境的影响,又由Exploitability可执行性与影响程度Impact 度量。
时间(Temporal):反应漏洞随着时间推移的影响而不受环境影响,举个简单的例子,随着一个漏洞软件的补丁不断增加,该漏洞的CVSS分数会随之减少。
环境(Environmental):代表特定环境下执行漏洞的分数,允许根据相应业务需求提高或者降低该分值。
2.分数(Scoring)
Base分值由专业的分析人员给出,分数在0.0-10.0之间,可以在美国国家漏洞数据库官网上搜到相应CVE漏洞的分值
https://nvd.nist.gov/vuln/search
计算方法可见下表:
对于时间与环境的分值是一种可选项,可根据具体的商业环境来选择。
3.Base Merics具体计算方法
3.1 Exploitability可执行性块
攻击向量(AV) | 网络(N)/邻居(A)/本地(L)/物理(P) |
0.85 / 0.62 / 0.55 / 0.2 |
攻击复杂度(AC) |
低(L)/高(H) |
0.77 / 0.44 |
权限要求(PR) |
无(N)/低(L)/高(H) | 0.85 / 0.62(0.68) / 0.27(0.50) |
用户交互(UI) |
不需要(N)/需要(R) |
0.85 / 0.62 |
影响范围(UI) | 不改变(U)/改变(C) | 根据Impact sub score和ISC取值 |
3.2 Impact影响指标
机密性(C) |
无(N)/低(L)/高(H) |
0 / 0.22 / 0.56 |
完整性(I) | 无(N)/低(L)/高(H) |
0 / 0.22 / 0.56 |
可用性(A) |
无(N)/低(L)/高(H) |
0 / 0.22 / 0.56 |
4.Time具体计算方法
利用代码的成熟度(E) | 未验证(U)/PoC(P)/EXP(F)/自动化利用(H) | 0.91 / 0.94 / 0.97 / 1 |
修复方案(RL) |
正式补丁(O)/临时补丁(T)/缓解措施(W)/不可用(U) |
0.95 / 0.96 / 0.97 / 1 |
来源可信度(RC) |
未知(U)/未完全确认(R)/已确认(C) |
0.92 / 0.96 / 1 |
5.Environmental具体计算方法
环境分数(可选) | |
---|---|
机密性要求(CR) | 未定义(X) 低(L) 中(M) 高(H) |
完整性要求(IR) | 未定义(X) 低(L) 中(M) 高(H) |
可用性要求(AR) | 未定义(X) 低(L) 中(M) 高(H) |
修改基础度量指标
(Modified Base Metrics) |
Modified Attack Vector (MAV) Modified Attack Complexity (MAC) Modified Privileges Required (MPR) Modified User Interaction (MUI) Modified Scope (MS) Modified Confidentiality (MC) Modified Integrity (MI) Modified Availability (MA) |
CVSS 3.0 官方文档:https://www.first.org/cvss/specification-document
通用漏洞评估方法CVSS3.0介绍相关推荐
- 通用漏洞评估方法CVSS3.0详解
CVSS(Common Vulerability Scoring System, 通用漏洞评估方法),是由NIAC 发布.FITST维护的开放式行业标准,CVSS 的发布为信息安全产业从业人员交流网络 ...
- 通用漏洞评估方法CVSS 3.0 计算公式及说明
CVSS 3.0 计算公式及说明 一.基础评价 1. 基础评价公式为: 当 影响度分值 <= 0: 基础分值 = 0 当 0 < 影响度分值 + 可利用度分值 < 10: 作用域 = ...
- 漏洞扫描软件AWVS的介绍和使用
本文首发于:行者AI Acunetix Web Vulnerability Scanner(AWVS)是用于测试和管理Web应用程序安全性的平台,能够自动扫描互联网或者本地局域网中是否存在漏洞,并报告 ...
- nginx 漏洞(适用于0.1.0-0.8.14)补丁
nginx 漏洞(适用于0.1.0-0.8.14)补丁 文章来源:http://xok.la/ 漏洞介绍: http://www.kb.cert.org/vuls/id/180065 As with ...
- 补天漏洞响应平台基本介绍
警告 一.基本介绍 (一)专属SRC (二)企业SRC (三)公益SRC 二.漏洞提交流程和厂商奖励 (一)漏洞提交流程 (二)厂商奖励--漏洞奖励主要分为现金奖励,KB奖励和荣誉奖励. 三. Web ...
- 漏洞风险评估:CVSS介绍及计算
CVSS 通用弱点评价体系(CVSS)是由NIAC开发.FIRST维护的一个开放并且能够被产品厂商免费采用的标准.利用该标准,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级. CVSS : ...
- 【工作流引擎】BPMN2.0介绍
[工作流引擎]BPMN2.0介绍 BPMN2.0 1. BPMN 基本建模元素 2. 事件 (Event) 3.活动 (Activity) 4.网关 (Gateway) 5.子流程和调用活动 6.描述 ...
- 开发者福利,BCH通用数据库Bitdb 2.0来了
开发者福利,BCH通用数据库Bitdb 2.0来了 自BCH在今年5月份升级之后将OP_RETURN的容量进行扩充,BCH开发者利用OP_RETURN开发了很多应用程序,例如memo.matter等等 ...
- [深度学习] 分布式Tensorflow 2.0 介绍(二)
[深度学习] 分布式模式介绍(一) [深度学习] 分布式Tensorflow 2.0介绍(二) [深度学习] 分布式Pytorch 1.0介绍(三) [深度学习] 分布式Horovod介绍(四) 一 ...
最新文章
- 在Windows中将目录添加到PATH环境变量
- python 加速循环的执行_python循环怎么用多线程去运行
- 【C++深度剖析教程8】C++的操作符重载的概念
- linux的基础知识——CS模型流程图
- 在Windows XP3下搭建cocos2d-x-android开发环境
- STM32驱动WS2811
- 当下最流行的几个php论坛程序比较哪个好
- 网络爬虫——淘宝网页面分析思路
- 蓝牙耳机哪个牌子好?国庆出游蓝牙耳机推荐
- No buffer space available终极解决办法
- 2012“第四届云计算中国峰会”倒计时
- Matlab求特征值和特征向量 + find函数的基本简单用法
- 编程艺术——软件设计模式SOLID原则
- html中的圆圈链接,html – 如何在svg圈内添加链接
- matlab矩阵除法、左除、求逆,这三者有什么区别
- 有什么手机计算机可以隐藏游戏,怎么样才能在任何手机上隐藏游戏
- 自动化立体仓库系统实训
- 使用JSAPl来做一个倒计时的效果
- linux如何进conf模式,Linux 中 vi /etc/sysctl.conf 如何编辑
- 基于unet神经网络上采样中的的三种方式的理解
热门文章
- 徐雷:做最好的自己!写在《mongodb实战》第2版和《WCF服务编程》第4版出版之际...
- CentOS7安装桌面环境(腾讯云)
- 网易云课堂数据分析师教程(云盘下载)
- 北京市城镇街道边界数据
- 简单的使用QueryList爬取数据
- 享受制造业中小微企业缓缴税费应注意七点
- python图片转化字节流_python字节流怎么转化成图片
- python efficientdet AttributeError: module ‘gast‘ has no attribute ‘Num‘
- python import自定义工具包
- Mac电脑设置hosts