漏洞风险评估:CVSS介绍及计算
CVSS
通用弱点评价体系(CVSS)是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级。
CVSS : Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。
它的主要目的是帮助人们建立衡量漏洞严重程度的标准,使得人们可以比较漏洞的严重程度,从而确定处理它们的优先级。CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。
得分7~10的漏洞通常被认为比较严重,
得分在4~6.9之间的是中级漏洞,
0~3.9的则是低级漏洞.
CVSS系统包括三种类型的分数:基本分数、暂时分和环境分。
基本得分和临时得分通常由安全产品卖主、供应商给出,因为他们能够更加清楚的了解漏洞的详细信息;
环境得分通常由用户给出,因为他们能够在自己的使用环境下更好的评价该漏洞存在的潜在影响。
所以应该是基于漏洞库的扫描??需要预先知道该漏洞的威胁值???
就是说漏洞应该预先有脆弱性等级,系统的安全性评估是综合各个漏洞来进行的??
CVSS 2.0 计算方法:
一些指标具有不确定性和复杂性,会导致完全的定量分析困难。
3个客观性指标和11个主观性指标。
下一步:指标量化(客观性指标量化和主观性指标量化)
http://www.xfocus.net/releases/200602/a850.html:
CVSS评分计算方法:
基本评价:
基本评价指的是该漏洞本身固有的一些特点及这些特点可能造成的影响的评价分值
A |
基本评价( BASE METRIC ) |
||
|
要素 |
可选值 |
评分 |
1 |
攻击途径AccessVector |
本地/远程 |
0.7/1.0 |
2 |
攻击复杂度AccessComplexity |
高/中/低 |
0.6/0.8/1.0 |
3 |
认证 Authentication |
需要/不需要 |
0.6/1.0 |
4 |
机密性ConfImpact |
不受影响/部分/完全 |
0/0.7/1 |
5 |
完整性IntegImpact |
不受影响/部分/完全 |
0/0.7/1 |
6 |
可用性AvailImpact |
不受影响/部分/完全 |
0/0.7/1 |
权值倾向 |
平均/机密性/完整性/可用性 |
各0.333/权值倾向要素0.5另两个0.25 |
基础评价 = 四舍五入(10 * 攻击途径* 攻击复杂度*认证* ((机密性 * 机密性权重) + (完整性 * 完整性权重) + (可用性 * 可用性权重)))
生命周期评价:
是针对最新类型漏洞(如:0day漏洞)设置的评分项,因此SQL注入漏洞不用考虑。
因此这里也列举出三个与时间紧密关联的要素如下:
B |
生命周期评价( TEMPORAL METRIC) |
||
|
要素 |
可选值 |
评分 |
1 |
可利用性 |
未证明/概念证明/功能性/完全代码 |
0.85/0.9/0.95/1.0 |
2 |
修复措施 |
官方补丁/临时补丁/临时解决方案/无 |
0.87/0.90/0.95/1.0 |
3 |
确认程度 |
不确认/未经确认/已确认 |
0.9/0.95/1.0 |
生命周期评价 =四舍五入(基础评价*可利用性* 修复措施*未经确认)
环境评价
每个漏洞会造成的影响大小都与用户自身的实际环境密不可分,因此可选项中也包括了环境评价,这可以由用户自评。(用户扫描配置时填写)
C |
环境评价( ENVIRONMENTAL METRIC ) |
||
|
要素 |
可选值 |
评分 |
1 |
危害影响程度 |
无/低/中/高 |
0/0.1/0.3/0.5 |
2 |
目标分布范围 |
无/低/中/高(0/1-15%/16-49%/50-100%) |
0/0.25/0.75/1.0 |
环境评价 = 四舍五入<(生命周期评价 + [(10 -生命周期评价) *危害影响程度]) *目标分布范围>
评分与危险等级
|
评分 |
危险等级 |
1 |
[0,4) |
低 |
2 |
[4,7) |
中 |
3 |
[7,10] |
高 |
漏洞风险评估:CVSS介绍及计算相关推荐
- 如何用 IT 业者能听懂的话介绍量子计算的原理?
如何用 IT 业者能听懂的话介绍量子计算的原理? 赞同642 反对,不会显示你的姓名 Summer Clover,机器学习&量子算法 收起 陈旭鹏.杨发枝.彭磊 等人赞同 谢邀. 量子计算/量 ...
- Fama三因子和Carhat 四因子的介绍和计算
这篇文章介绍了Fama 三因子和Carhat 四因子,主要是在介绍Fama三因子,因为Carhat四因子,只是三因子的拓展. 并且,计算方法是我对两篇文章的学习注解,可以先去看原文章. 本篇文章学习参 ...
- EternalBlue 永恒之蓝 SMB 漏洞底层实现介绍
EternalBlue 永恒之蓝 SMB 漏洞底层实现介绍 EternalBlue 永恒之蓝 是 Windows 8 之前的系统中存在的漏洞,它支持 SMB 服务中的进程间通信共享(IPC$),默认允 ...
- 通用漏洞评估方法CVSS 3.0 计算公式及说明
CVSS 3.0 计算公式及说明 一.基础评价 1. 基础评价公式为: 当 影响度分值 <= 0: 基础分值 = 0 当 0 < 影响度分值 + 可利用度分值 < 10: 作用域 = ...
- IE 零日漏洞风险评估
<本文转译自Microsoft Security Research & Defense 博客文章"Assessing risk of IE 0day vulnerability ...
- 根据经纬度计算地球上两点之间的距离——Haversine公式介绍及计算步骤
目录 摘要 1.半正矢公式(Haversine Formula)介绍 2.半正矢公式应用 3.半正矢公式计算 3.1 主要思路 3.2 计算步骤 3.2.1 平面向量计算方法 3.2.2 空间向量计算 ...
- ROC,AUC,Precision,Recall,F1的介绍与计算
1. 基本概念 1.1 ROC与AUC ROC曲线和AUC常被用来评价一个二值分类器(binary classifier)的优劣,ROC曲线称为受试者工作特征曲线 (receiver operatin ...
- 汉诺塔相关介绍及计算
汉诺塔的相关题目及计算 汉诺塔的相关介绍及分析 简介 经典汉诺塔 求最小移动次数 汉诺塔的相关介绍及分析 简介 前两天无意中提到了汉诺塔就重新刷了一下相关的题目,感觉有些题目有很多巧妙之处,提到汉诺塔 ...
- 【Goby】自动化漏洞扫描工具介绍、下载、使用、功能
目录 一.介绍: 二.特性: 三.准备: 3.1.简介: 3.2.权限配置: 3.2.1.Windows用户 3.2.2.MacOS用户 四.Goby下载: 4.1.官网: 五.使用: 六.功能: 6 ...
最新文章
- DOM修改元素的方法总结
- Linux平台Qt creator报错:Circular all - first dependency dropped
- MonolithFirst:单体应用优先策略
- ACdream OJ 1140 Counting Triangles
- 语音控制 python_用Python编程实现语音控制电脑
- 《系统集成项目管理工程师》必背100个知识点-03项目管理过程组
- java中的23中设计模式
- MyBatis 架构分层与模块划分-核心处理层
- Android第三夜
- 4月27日--28日课堂内容
- 【以太坊源码阅读】椭圆曲线加密和EIP155
- 抓取epsg.io的内容
- 深入浅出 Javascript API(一)--基本框架
- 小新 无法开机 联想_19年最“狠”轻薄本诞生 联想小新Pro 13优缺点一览
- 机器学习:学习的分类
- cmd下批量pingIP地址
- 这是浙江大学郑强教授的经典语录 虽然我不完全赞同但对他的精神佩服的五体投地...
- C++正则表达式regex库使用方法总结
- 【Trailing spaces not allowed no-trailing-spaces】报错
- Python实现Flesch阅读易读性公式计算