web-dev-qa-db-ja.com

XSSがCVSS V2の整合性に部分的な影響を与えてスコアリングされるのはなぜですか?

CVSS v2から 完全なガイド

「スコア付けのヒント#2:脆弱性をスコアリングする際は、ターゲットホストへの直接的な影響のみを考慮してください。たとえば、クロスサイトスクリプティングの脆弱性を考慮してください。ユーザーのシステムへの影響は、ターゲットホストへの影響よりもはるかに大きい可能性があります。ただし、これは間接的な影響です。クロスサイトスクリプティングの脆弱性は、機密性や可用性に影響を与えず、整合性に部分的な影響を与えることなくスコアリングする必要があります。」

クロスサイトスクリプティングは、主に3つのタイプに分けられます。リフレクトXSS、ストアドXSS、DOMベースのXSSです。
しかし、XSSが整合性への影響なしではなく、整合性への部分的影響でスコア付けされるのはなぜですか? XSSの脆弱性が反映されたXSSである場合、整合性に影響を与えることなくXSSをスコアリングできますか?

3
Matt Elson

整合性への影響の例:たとえば、CSRFトークンが実装されたプロファイル更新ページがありますが、反映されたXSSも存在します。これで、XSSを使用してこのトークンを盗むことができ、被害者のプロファイルに不要な変更を加えることができます。参考のために article を示します。

CVSS v2では、影響を計算するために考慮されるのはターゲットホストのみであるため、XSS脆弱性の多くは部分的な影響でマークされました。 XSSは、被害者のブラウザにも影響を及ぼし、被害者のマシンにより多くの損害を与える脆弱性です。

これは、CVSSバージョン3で改善されています。

悪用に成功した脆弱性が1つ以上のコンポーネントに影響を与えるかどうかにかかわらず、影響の指標は、成功した攻撃に最も直接的かつ予測可能に関連付けられている最悪の結果を被ったコンポーネントに従ってスコアリングされます。

3
one

XSSの脆弱性が反映されたXSSである場合、整合性に影響を与えることなくXSSをスコアリングできますか?

いいえ、XSS脆弱性の種類は影響メトリックにまったく影響しません。

XSSの脆弱性が反映、保存、またはDOMベースであるかどうか、ユーザーの操作が必要かどうか、またはアカウントが必要かどうかは関係ありません。これらの要因は、アクセスの複雑さと認証メトリックによって捕捉されます。

一方、影響は常に同じです。ペイロードがどのように配信されるかは関係ありません。攻撃者が制御するJavaScriptが被害者のブラウザで実行されると、何ができるかは同じです。

xSSが整合性への影響ではなく、整合性への部分的な影響でスコア付けされるのはなぜですか?

影響を評価するときは、ホストへの影響のみを考慮します。

スコアリングのヒント#2:脆弱性をスコアリングするときは、ターゲットホストへの直接的な影響のみを考慮してください。たとえば、クロスサイトスクリプティングの脆弱性を考えてみましょう。ユーザーのシステムへの影響は、ターゲットホストへの影響よりもはるかに大きい可能性があります。ただし、これは間接的な影響です。クロスサイトスクリプティングの脆弱性は、機密性や可用性に影響を与えず、整合性に部分的な影響を与えることなくスコアリングする必要があります CVSSv2仕様

整合性スコアの2つのオプションを考えることができます。

  • XSSを使用すると、攻撃者はホストがユーザーに送信するデータを変更します。これは、ホストの整合性に直接影響します。攻撃者は、データ、つまりフィッシング攻撃のログインフォームの表示(CVSSv2では考慮されない機密性への間接的な影響)などのさまざまな攻撃を実行し、クライアント側のデータ(Cookieのように、再びCookieとは見なされません)を読み取ります直接の機密性への影響)など.
  • @oneが示唆したように、攻撃者はCSRF保護をバイパスすることでWebアプリケーションのデータを変更する可能性があり、ホストに部分的(ただし完全ではない)の影響を与える可能性があります。 (少なくとも一部のアプリケーションでは)可用性への影響があることを暗示するため、この説明はあまりありません。また、機密性への影響も多少含まれている可能性があります(そのことについての私の質問を参照してください here )。
0
tim