CVSS v3で「スコープ」とはどういう意味ですか?
CVSS v3では、「スコープ」は、アプリケーションの脆弱性がその手段を超えてリソースに影響を与えるかどうかを示します。 「changed」または「unchanged」の値を持つことができます。
スコープがいつ変更されるのかよくわかりません。たとえば、 CVSSの例 では、アプリケーションの脆弱性がユーザーのブラウザーに影響を与えるため、XSSのスコープが変更されています。ただし、XSSを使用しても、Javascriptはアプリケーションコンテキスト内でしか実行できません。これは、アプリケーションが最初から実行できることです。これがその手段を超えてリソースに影響を与えることは私には思えません。
また、例のCSRFの脆弱性は、XSSと同じようにブラウザーで動作をトリガーしますが、スコープは変更されていません。
スコープが変更または変更されていない場合、それはどういう意味ですか?
ドキュメントから、脆弱性が認可機関を通過するとスコープが変更されるようです。 「認可機関」とは何ですか?
入力をサーバーに送信し、サーバーが入力を検証せずに応答として返すと、XSS攻撃が発生します。この場合、脆弱性はサーバーのWebページ(検証の欠如)にあり、このWebページがスコープ権限です。ただし、攻撃によってWebページ自体が侵害されることはありません。ユーザーのブラウザを危険にさらします。これは、スコープの変更が発生している場所です。 CSRF攻撃では、この脆弱性はWebページに再び存在します(認証トークンなし)が、この場合、攻撃はユーザーのブラウザーを危険にさらしません。巧妙に細工された要求が機能するのは特定のWebページだけです。作成された特定のWebサイト。範囲は変更されていません。 (脆弱性と侵害は同じコンポーネント内にあります)。彼のコメントのanonは、認可認可機関が何であるかを完全に説明したと思います。しかし、うまくいけば、これはより明確になるでしょう。