web-dev-qa-db-ja.com

CVSSと連鎖脆弱性

Webサイトに2つの脆弱性があるとします。

  1. 情報開示
  2. 反映されたXSS

それら自体による影響は特定のサイトに限定されますが、連鎖すると、影響が高すぎます(たとえば、別の口座への送金)。

それらの脆弱性を提示する最も適切な方法は何でしょうか?

ブレーンストーミングには、少なくとも3つのオプションがあると思います。

  1. 連鎖的な影響を考慮せずに、2つの脆弱性がある
  2. 2つの脆弱性を1つにまとめ、影響力を高めます。
  3. 3つの脆弱性があります。元の2つに加えて、2つが連鎖したときに影響を受ける重要な機能です。

最初のオプションは適切に見えません。3番目のオプションは、1つの追加の脆弱性をリストすることは冗長になる可能性があります。 2番目のオプションはそれほど悪くはないように見えますが、2つの脆弱性がそれ自体で重要である場合は、両方に独自のスポットがある方が適切な場合があります。

riskcvss
2
tturbox

あなたの#3は CVSSユーザーガイド で明示的に説明されているものです:

CVSSは、個々の脆弱性を分類して評価するように設計されています。ただし、ホストまたはアプリケーションを侵害する単一の攻撃の過程で複数の脆弱性が悪用される状況に対応することにより、脆弱性分析コミュニティのニーズをサポートすることが重要です。この方法での複数の脆弱性のスコアリングは、脆弱性連鎖と呼ばれます。これは正式な指標ではありませんが、これらの種類の攻撃をスコアリングする際のアナリスト向けのガイダンスとして含まれていることに注意してください。

一連の脆弱性をスコアリングする場合、どの脆弱性が組み合わされてチェーンスコアを形成するかを特定するのは、アナリストの責任です。 分析者は、連鎖したスコアとともに、個別の脆弱性とそのスコアをリストする必要があります。たとえば、これは、ウェブページ。

1
Swashbuckler

リスクとCVSSを融合させている可能性があります。脆弱性は個別にスコアリングされ、脆弱性の連鎖は攻撃またはエクスプロイトであり、CVSSが測定することを意図していません。

オプション2または3を取り、Webサイトが脆弱性の1つのみを修正した場合、スコアは間違っているため、再計算する必要があります。 Webサイトに2つではなく30個の脆弱性がある場合、考えられるすべてのチェーンを計算する必要があるため、これは困難です。

0
wireghoul