CVSS v2から 完全なガイド :
「スコア付けのヒント#2:脆弱性をスコアリングする際は、ターゲットホストへの直接的な影響のみを考慮してください。たとえば、クロスサイトスクリプティングの脆弱性を考慮してください。ユーザーのシステムへの影響は、ターゲットホストへの影響よりもはるかに大きい可能性があります。ただし、これは間接的な影響です。クロスサイトスクリプティングの脆弱性は、機密性や可用性に影響を与えず、整合性に部分的な影響を与えることなくスコアリングする必要があります。」
クロスサイトスクリプティングは、主に3つのタイプに分けられます。リフレクトXSS、ストアドXSS、DOMベースのXSSです。
しかし、XSSが整合性への影響なしではなく、整合性への部分的影響でスコア付けされるのはなぜですか? XSSの脆弱性が反映されたXSSである場合、整合性に影響を与えることなくXSSをスコアリングできますか?
整合性への影響の例:たとえば、CSRFトークンが実装されたプロファイル更新ページがありますが、反映されたXSSも存在します。これで、XSSを使用してこのトークンを盗むことができ、被害者のプロファイルに不要な変更を加えることができます。参考のために article を示します。
CVSS v2では、影響を計算するために考慮されるのはターゲットホストのみであるため、XSS脆弱性の多くは部分的な影響でマークされました。 XSSは、被害者のブラウザにも影響を及ぼし、被害者のマシンにより多くの損害を与える脆弱性です。
これは、CVSSバージョン3で改善されています。
悪用に成功した脆弱性が1つ以上のコンポーネントに影響を与えるかどうかにかかわらず、影響の指標は、成功した攻撃に最も直接的かつ予測可能に関連付けられている最悪の結果を被ったコンポーネントに従ってスコアリングされます。
XSSの脆弱性が反映されたXSSである場合、整合性に影響を与えることなくXSSをスコアリングできますか?
いいえ、XSS脆弱性の種類は影響メトリックにまったく影響しません。
XSSの脆弱性が反映、保存、またはDOMベースであるかどうか、ユーザーの操作が必要かどうか、またはアカウントが必要かどうかは関係ありません。これらの要因は、アクセスの複雑さと認証メトリックによって捕捉されます。
一方、影響は常に同じです。ペイロードがどのように配信されるかは関係ありません。攻撃者が制御するJavaScriptが被害者のブラウザで実行されると、何ができるかは同じです。
xSSが整合性への影響ではなく、整合性への部分的な影響でスコア付けされるのはなぜですか?
影響を評価するときは、ホストへの影響のみを考慮します。
スコアリングのヒント#2:脆弱性をスコアリングするときは、ターゲットホストへの直接的な影響のみを考慮してください。たとえば、クロスサイトスクリプティングの脆弱性を考えてみましょう。ユーザーのシステムへの影響は、ターゲットホストへの影響よりもはるかに大きい可能性があります。ただし、これは間接的な影響です。クロスサイトスクリプティングの脆弱性は、機密性や可用性に影響を与えず、整合性に部分的な影響を与えることなくスコアリングする必要があります CVSSv2仕様
整合性スコアの2つのオプションを考えることができます。