揭开CVSS的神秘面纱

已于 2022-08-19 08:57:22 修改
阅读量3.8k 收藏 8
点赞数 1
分类专栏: 安全要闻 DevSecOps分享 文章标签: 安全 网络
于 2022-08-19 08:56:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qzt961003/article/details/126417451
版权

一、CVSS到底是什么?

虽然软件漏洞的潜在影响不应该被低估,但是对每个漏洞给予同等重要性是不科学的,同时也是不合理的。因此,我们需要一个专业评分标准对每个漏洞的严重程度进行优先级排序,以便企业和安全团队可以从容的理解和修复每个已知漏洞。于是CVSS应运而生。

CVSS(The Common Vulnerability Scoring System通用漏洞评分系统)是一个行业标准,由FIRST.org编写并更新。FIRST是一个总部设在美国的非营利组织,在全球拥有超过500个成员组织,它的权威性因此得到了有效的保证。

CVSS提供了信息安全漏洞严重程度的数值,0-10代表不严重到致命威胁。CVSS评分通常被用作漏洞管理程序的一部分,以提供漏洞之间的比较点,以便优先修复严重程度高的漏洞。

二、评分标准

CVSS现在的版本是V3.1,其更新目的是解决V2中的一些已知缺点。

CVSS评分由三组指标组成:基础、时间、环境

最低0.47元/天 解锁文章
GitMore
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CVSS评分维度
01-02
### CVSS评分维度详解 #### 一、基本评价(Base Metrics) **1.1 Access Vector (AV) 攻击途径** - **Local (L):** 如果仅通过本地攻击利用漏洞,攻击者需对受攻击系统进行物理接触或具备本地(shell/壳式)账号。...
网络安全常用术语解读 」通用漏洞评分系统CVSS详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-11 8240
CVSS全称是Common Vulnerability Scoring System,中文翻译为通用漏洞评分系统,CVSS是一个用于沟通软件漏洞特征和严重性的开放框架,它由FIRST(Forum of Incident Response and Security Teams)定义和维护。CVSS提供了一种方法来获取漏洞的主要特征,并生成反映其严重性的数值评分,取值范围[0,10],取值越高表明漏洞越严重,主要用于帮助组织或企业在漏洞管理流程中评估与定级漏洞。
CVSS简介
2301_78006725的博客
12-02 195
是由FIRST(Forum of Incident Response and Security Teams)提出的漏洞严重性评分算法,现在已成为ITU-T(b-ITU-T X.1521)和NIST(NISTIR 7435)的推荐标准,被广泛应用于软件安全、漏洞管理等领域,受到eBay、(Symantec)、思科(Cisco)、甲古文(Oracle)等众多厂商支援。用于计算基准评分,主要从漏洞的内在特性(不会随时间的推移或环境的改变而变化),来评价漏洞的严重性。
软件安全的关键:CVSS 4.0和漏洞管理
最新发布
网络研究观
06-17 1766
您如何评估软件安全漏洞?是否可以确定其严重程度?
解读 CVSS 通用评分系统中最具争议的 Scope
个人笔记
03-28 3419
CVSS, Common Vulnerability Scoring System, 即通用漏洞评分系统,简言之就是一个对安全漏洞进行打分的标准。网络安全人员按照 CVSS 评分的维度对漏洞打分,截至到今天,CVSS 已经升级到 3.1 版本。实际上 CVSS 评分还有一些令人模糊的灰色地带,尤其是最具争议的 Scope,本次就在这里解读一下关于 Scope,到底该不该 Changed。
CVSS 3.1介绍及具体漏洞CVSS分数指北
Zichel77的博客
03-03 2992
CVSS 3.1 是通用漏洞评分系统的最新版本,用于评估漏洞的严重程度。
CVSS评分策略分析及近年来满分漏洞盘点
C20220511的博客
05-13 9307
01 引言 近两年正如许多安全公司的研究员亲身经历的那样,网络攻击量显著增加,重大漏洞被相继爆出并伴随着在野利用。如去年年底的log4shell(CVE-2021-44228)和今年爆出的spring4shell(CVE-2022-22965)在安全圈里都掀起了不小的风浪。由于在分析spring漏洞时cve编号还没有出来,自评影响力也没那么“核弹级”,后续就没怎么关注这个漏洞的。最近突然想看看这个漏洞的CVSS评分,看看官方是怎么给这漏洞做影响力定义的。查看后发现该漏洞CVSSV2.0评分为7.5,CV.
CISA《网络安全事件和漏洞响应手册》提到的SSVC是什么?
liuhyusb的博客
07-26 361
可根据团队在供应链中执行的任务,将相关者划分为提供者、部署者或协调者。
CVSS3.0说明书
11-07
通用弱点评价体系(CVSS)是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级。
omron cvss
09-28
Omron CVSS是一款专为Omron CV500系列可编程控制器(PLC)设计的编程软件。这个软件提供了一个用户友好的环境,允许工程师和技术人员进行高效的编程和调试任务。Omron CV500系列PLC是工业自动化领域常用的设备,广泛...
cvss v1中文版
08-21
通用弱点评价体系(CVSS,Common Vulnerability Scoring System)是一种国际公认的标准,用于量化网络安全漏洞的严重性。这一标准由国家基础设施顾问委员会(NIAC)创建,并由论坛应急响应组(FIRST)负责维护和更新...
CVSS3.0评分指导书说明书
05-12
CVSS3.0(Common Vulnerability Scoring System 3.0),通用漏洞评估方法的第三版,是一种标准化的系统,用于衡量网络安全漏洞的严重性。该标准由美国基础设施顾问委员会(NIAC)发起,由FIRST(Forum of Incident ...
安全漏洞评分系统CVSS
2301_76563067的博客
09-26 2211
通用漏洞评分系统(Common Vulnerability Scoring System,CVSS) CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞。
安全漏洞评分系统(CVSS)
热门推荐
KerryRuan的专栏
04-08 3万+
CVSS : Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。 CVSS是安全内容自动化协议(SCAP)[2]的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。 CVSS的目标是为所有软件安全漏洞提供一个严重程度的评级
通用弱点评价体系(CVSS)简介
xp6033的专栏
11-01 1553
http://www.xfocus.net一、综述弱点(vulnerabilities)是网络安全中的一个重要因素,在多种安全产品(如漏洞扫描、入侵检测、防病毒、补丁管理等)中涉及到对弱点及其可能造成的影响的评价。但目前业界并没有通用统一的评价体系标准。通用弱点评价体系(CVSS)是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准,可以对
cvss评分及漏洞矢量
General_zy的博客
10-25 5014
CVSS2.0对漏洞等级的定义有低、中、高三个级别,CVSS3.0开始补充了“严重”这个级别。C(Confidentiality Impact)代表机密性影响度。A(Availability Impact)代表可用性影响度。PR(Privileges Required)代表权限要求。AC(Attack Complexity)代表攻击复杂度。I(Integrity Impact)代表完整性影响度。AV(Attack Vector)代表攻击途径。S(Scope)代表作用域。
一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVE、CWE及其与CVSS之间的关系
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-14 2363
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。
通用漏洞评估系统CVSS4.0简介
Wayne的CSDN博客
05-01 684
笔记源自 Tenable-CVSS4.0讲座分享
通用漏洞评估方法CVSS3.0详解
u013904410的博客
10-28 3万+
CVSS(Common Vulerability Scoring System, 通用漏洞评估方法),是由NIAC 发布、FITST维护的开放式行业标准,CVSS 的发布为信息安全产业从业人员交流网络中所存在的系统漏洞的特点与影响提供了一个开放式的评价方法。 1.度量(Metrics) CVSS3.0由三个基本尺度组成, 基本(Base):代表着漏洞的原始属性,不受时间与环境的影响,又由Ex...
CVSS3.0详解:公开漏洞评估框架与严重性评分指南
CVSS 3.0,全称Common Vulnerability Scoring System version 3.0,是一个由美国国家安全局计算机应急响应小组(NIAC)开发、由计算机安全响应组织(FIRST)维护的开源框架。其目的是提供一个标准化的方法来评估软件漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GitMore

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值