CVSSv2がXSSに機密性の影響があると見なさないのはなぜですか?
CVSSv2仕様から:
スコアリングのヒント#2:脆弱性をスコアリングするときは、ターゲットホストへの直接的な影響のみを考慮してください。たとえば、クロスサイトスクリプティングの脆弱性を考えてみましょう。ユーザーのシステムへの影響は、ターゲットホストへの影響よりもはるかに大きい可能性があります。ただし、これは間接的な影響です。 クロスサイトスクリプティングの脆弱性は、機密性や可用性に影響を与えず、整合性に部分的な影響を与えることなくスコアリングする必要があります CVSSv2仕様
これは、XSSが実際に採点されるのを見た方法でもあります。
ただし、ホストへの影響のみを考慮した場合でも、攻撃者は影響を受けるWebアプリケーションから機密情報を読み取るJavaScriptペイロードを使用する可能性があります(被害者が現在ログインしている場合で、そのような機密情報が存在する場合)。
では、なぜ機密性が低く評価されていないのですか?これは間接的な影響ですか?そして、もしそうなら、なぜ(そして、なぜ完全性は間接的に影響しないのですか?)それで、なぜ可用性に影響がないのですか?攻撃者はCSRF保護を回避できず、そのため(もちろんアプリケーションによっては)重要なデータを削除したり、設定を変更してアプリケーションを使用不可にしたりできませんか?
関連: XSSがCVSS V2の整合性に部分的な影響を与えるのはなぜですか? 。
これは CVSSv で変更されていることを知っています(ホストではなくブラウザが考慮されるため)。
答えは非常に簡単です。 XSSの間接的な効果以来。例:Cookieの読み取りを可能にする脆弱性は、機密性に影響を及ぼします。ただし、XSSを挿入できる脆弱性は整合性に影響します(ページを変更できます)。ただし、ページを任意に変更できるため、Cookieを盗む悪意のあるページに変更されるため、スコアリングは間接的な脆弱性を考慮しません。それが見つかりました。
たとえば、ダウンロードスクリプトの脆弱性により、攻撃者はダウンロードされるEXEを置き換えることができます。完全性にかなりの影響があります。
ただし、ダウンロードされる悪意のあるEXEが情報を漏洩する可能性があるというだけの理由で、機密性に影響はありません。
XSSと同じです。脆弱性の修正はソースでそれを解決することであるので、このスコアリングは重要です(より適切にフィルタリングしてXSSの可能性を取り除きます)。機密性を改善しても、意図しない副作用が発生することなくこれを解決することはできません。さらに、XSSがWebアプリケーションに残り、脆弱性が引き続き有効になる(CVEを解決済みとして登録できない)機密性リスク以外のリスク。
CVSSv3システムには、これを補正する他のいくつかのベクターが追加されています。そのため、CVSSv3でも変更されています。 (スコープ変更メトリックを使用して、攻撃の影響が他の場所で発生した場合を考慮し、脆弱性を軽減するときにこれを考慮することができます)