いくつかのOWASPトップ10の脆弱性に対するCVSS v3スコープパラメーターの決定
私はcvss v3でowaspのトップ10を獲得しようとしていますが、一部に「スコープ」パラメーターを割り当てるのが困難です。何らかの不具合がある場合は、以下のリストを修正してください。
SQLインジェクション:変更されました。
脆弱なコンポーネント:Webサーバー/データベースサーバー
影響を受けるコンポーネント:Webアプリケーション。 webappが利用できなくなる可能性があります。XSS:変更
脆弱なコンポーネント:ウェブサーバー
影響を受けるコンポーネント:ブラウザ未検証のリダイレクト:変更されました
脆弱なコンポーネント:ウェブサーバー
影響を受けるコンポーネント:ブラウザ(マルウェアはダウンロード可能)CSRF:変更なし
セッション固定:変更なし
安全でない直接オブジェクト参照:変更なし
無制限のファイルアップロード:変更
脆弱なコンポーネント:Webサーバー
影響を受けるコンポーネント:ホストOSである可能性があります
CVSSv3のスコープ
スコープは documentation で定義されています:
ある承認スコープによって管理されるソフトウェアコンポーネントの脆弱性が別の承認スコープによって管理されるリソースに影響を与える可能性がある場合、スコープの変更が発生しました。
例
1)SQLインジェクション:変更されました。
脆弱なコンポーネント:Webサーバー/データベースサーバー
影響を受けるコンポーネント:Webアプリケーション。 webappが利用できなくなる可能性があります。
私はあなたの推論には同意しませんが、範囲が変更されることに同意します。
脆弱なコンポーネントはWebアプリケーションです。この脆弱性はサーバーやDBMSによって引き起こされたのではありませんが、Webアプリケーションがユーザー入力をSQLクエリに挿入したために問題が存在します。
影響を受けるコンポーネントはデータベースであり、それが保持するデータを管理します。攻撃から、利用できないはずの情報をデータベースから抽出できます。システムコマンドを実行できる場合、またはファイルをアップロードできる場合は、サーバーも影響を受けます。
その他の意見:
- CVE-2015-8604 は変更されていないスコープとして評価されます。
- High-Tech Bridge CVSSv3に関するブログ投稿で、SQLインジェクションをスコープの変更として評価します。
- High-Tech Bridge CVSSv3計算機でSQLインジェクションを変更されていないスコープとして評価します。
SQLインジェクションのスコープの評価について少なくともいくらかの不明確さが存在することがわかります。 SQLインジェクションの範囲を決定する他の例は見つかりませんでした。
2)XSS:変更
脆弱なコンポーネント:ウェブサーバー
影響を受けるコンポーネント:ブラウザ
理にかなっており、これは、Firstが XSSの例 で評価する方法でもあります。
3)未検証のリダイレクト:変更されました。
脆弱なコンポーネント:ウェブサーバー
影響を受けるコンポーネント:ブラウザ(マルウェアはダウンロード可能)
XSSと同じ理由で、これも意味があります。
4)CSRF:変更なし
これも理にかなっており、Firstが CSRFの例 で評価する方法でもあります。脆弱なコンポーネントと影響を受けるコンポーネントはどちらもWebアプリケーションです。
5)セッション固定:変更なし
これもCSRFと同じ理由で理にかなっています。
6)安全でない直接オブジェクト参照:変更なし
これもCSRFと同じ理由で理にかなっています。
7)無制限のファイルアップロード:変更
脆弱なコンポーネント:Webサーバー
影響を受けるコンポーネント:ホストOSである可能性があります
意味あり。
SQLインジェクションのスコープはほとんど変わらないと思います。
以下に、SQLインジェクションの脆弱性の例をCVSS 3スコアとともに示します。
- CVE-2019-6295
- CVE-2019-3494
- CVE-2018-12052
- CVE-2018-11309
- CVE-2018-128
- CVE-2017-655
- CVE-2016-10204
- CVE-2016-9272
- CVE-2016-5792
- CVE-2016-3172
- CVE-2016-2386
- CVE-2015-8604
これらすべてのスコープは変更されていません。
スコープが変更されたSQLインジェクションもありますが、これらは通常のSQLインジェクションではありません。
SQLインジェクションのスコープが変更されていないことは確かですが、CVSSスコープについてなぜかを判断するのに十分ではありません。
一部の異なるシステムが影響を受ける可能性があるため、このパラメーターが導入されました。 XSSは非常に実際の例です。CVSSの以前のバージョンでは、XSSのスコアは非常に低くなります。これは、Webアプリケーションに脆弱性が存在する一方で、Webアプリケーション自体、またはそれが実行されるサーバーは実際には影響を受けないため、どこか別のユーザーであるためです犠牲者は誰ですか。
ARPポイズニングなどの場合も同様です。これは、攻撃対象のスイッチやルーターには実際には影響しませんが、同じネットワーク内の他のデバイスが「中間者」になる可能性があります。
詳細については https://www.first.org/cvss/user-guide も参照してください。
したがって、XSSの場合は "C"スコアを使用するのが正しいと思いますが、SQLインジェクションの場合はよくわかりません。これは、関係するアプリケーションへの簡単な侵入です。 (もちろん、ネットワークがさらに侵害される可能性があるデータベースの構成ミスが発生している場合を除きますが、SQLインジェクション自体は関係するアプリケーションにのみ影響を与えるはずです)。