通用漏洞评估方法CVSS3.0详解

最新推荐文章于 2024-08-15 14:31:31 发布
最新推荐文章于 2024-08-15 14:31:31 发布
阅读量3.5w 收藏 45
点赞数 6

CVSS(Common Vulerability Scoring System, 通用漏洞评估方法),是由NIAC 发布、FITST维护的开放式行业标准,CVSS 的发布为信息安全产业从业人员交流网络中所存在的系统漏洞的特点与影响提供了一个开放式的评价方法。

1.度量(Metrics)

CVSS3.0由三个基本尺度组成,

基本(Base):代表着漏洞的原始属性,不受时间与环境的影响,又由Exploitability可执行性与影响程度Impact 度量。

时间(Temporal):反应漏洞随着时间推移的影响而不受环境影响,举个简单的例子,随着一个漏洞软件的补丁不断增加,该漏洞的CVSS分数会随之减少。

环境(Environmental):代表特定环境下执行漏洞的分数,允许根据相应业务需求提高或者降低该分值。

2.分数(Scoring)

Base分值由专业的分析人员给出,分数在0.0-10.0之间,可以在美国国家漏洞数据库官网上搜到相应CVE漏洞的分值

https://nvd.nist.gov/vuln/search

计算方法可见下表:

CVSS Metrics and Equations

对于时间与环境的分值是一种可选项,可根据具体的商业环境来选择。

3.Base Merics具体计算方法

3.1 Exploitability可执行性块

攻击向量(AV)网络(N)/邻居(A)/本地(L)/物理(P)

0.85 / 0.62 / 0.55 / 0.2

攻击复杂度(AC)

低(L)/高(H)

0.77 / 0.44

权限要求(PR)

无(N)/低(L)/高(H)0.85 / 0.62(0.68) / 0.27(0.50)

用户交互(UI)

不需要(N)/需要(R)

0.85 / 0.62

影响范围(UI)不改变(U)/改变(C)根据Impact sub score和ISC取值

3.2 Impact影响指标

机密性(C)

无(N)/低(L)/高(H)

0 / 0.22 / 0.56

完整性(I)无(N)/低(L)/高(H)

0 / 0.22 / 0.56

可用性(A)

无(N)/低(L)/高(H)

0 / 0.22 / 0.56

4.Time具体计算方法

利用代码的成熟度(E)未验证(U)/PoC(P)/EXP(F)/自动化利用(H)0.91 / 0.94 / 0.97 / 1

修复方案(RL)

正式补丁(O)/临时补丁(T)/缓解措施(W)/不可用(U)

0.95 / 0.96 / 0.97 / 1

来源可信度(RC)

未知(U)/未完全确认(R)/已确认(C)

0.92 / 0.96 / 1

5.Environmental具体计算方法

环境分数(可选)
机密性要求(CR)未定义(X) 低(L) 中(M) 高(H)
完整性要求(IR)未定义(X) 低(L) 中(M) 高(H)
可用性要求(AR)未定义(X) 低(L) 中(M) 高(H)
修改基础度量指标

 

(Modified Base Metrics)

Modified Attack Vector (MAV)
Modified Attack Complexity (MAC)
Modified Privileges Required (MPR)
Modified User Interaction (MUI)
Modified Scope (MS)
Modified Confidentiality (MC)
Modified Integrity (MI)
Modified Availability (MA)

CVSS 3.0 官方文档:https://www.first.org/cvss/specification-document

 

ToEof
关注
安全漏洞评分系统(CVSS)
KerryRuan的专栏
04-08 3万+
CVSS : Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。 CVSS是安全内容自动化协议(SCAP)[2]的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。 CVSS的目标是为所有软件安全漏洞提供一个严重程度的评级
通用漏洞评估方法CVSS 3.0 计算公式及说明
avgio28264的专栏
04-15 6037
CVSS 3.0 计算公式及说明 一、基础评价 1. 基础评价公式为:   当 影响度分值<= 0: 基础分值 = 0   当 0 < 影响度分值+ 可利用度分值 < 10:     作用域 = 固定: 基础分值= Roundup(影响度分值+ 可利用度分值)     作用域 = 变化: 基础分值 = Roundup[1.08 × (影响度分值+ ...
漏洞评估-CVSS3
qq_24925595的博客
03-13 2933
详细可以参考ITU-T X.1521 Exploitability Attack Vector(AV) Attack Complexity(AC) Priviliages required(PR) User Interation(UI) Scope(S) 范围指的是计算授权主体(如应用、操作系统或沙盘环境)在授予计算资源(如文件、中央处理器(CPU)、内存等)...
TiDB之Prometheus未授权访问漏洞修复
weixin_39863120的博客
07-01 1317
输入密码后,你应能看到 Prometheus 的指标输出。输入你的密码(例如 “test”)后,脚本会输出类似于。路径指向正确的 web.yml 文件位置。如果验证成功,会输出。
CVSS v3.0漏洞评级标准
weixin_30840573的博客
01-23 3303
主要参考漏洞盒子帮助中心,详见附件。 转载于:https://www.cnblogs.com/fanfeng/p/10309994.html
「 网络安全常用术语解读 」通用漏洞评分系统CVSS详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-11 9389
CVSS全称是Common Vulnerability Scoring System,中文翻译为通用漏洞评分系统,CVSS是一个用于沟通软件漏洞特征和严重性的开放框架,它由FIRST(Forum of Incident Response and Security Teams)定义和维护。CVSS提供了一种方法来获取漏洞的主要特征,并生成反映其严重性的数值评分,取值范围[0,10],取值越高表明漏洞越严重,主要用于帮助组织或企业在漏洞管理流程中评估与定级漏洞
CVSS3.0说明书
11-07
通用弱点评价体系(CVSS)是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准,可以对弱点进行评分,进而帮助我们判断修复不同弱点的优先等级。
cvss3.0简表
灵感点滴的分享
11-15 605
0 无风险 0.1-3.9 低险 4.0-6.9 中险 7.0-8.9 高险 9.0-10.0 超危
CVSS3.0打分学习
weixin_30606669的博客
03-21 1510
打分计算器: Common Vulnerability Scoring System Version 3.0 Calculator:https://www.first.org/cvss/calculator/3.0 打分导图: Scoring Rubric The scoring rubric provides a quick reference to scoring ...
通用漏洞评估方法CVSS3.0简表
avgio28264的专栏
04-15 1751
CVSS3.0计算分值共有三种维度:   1. 基础度量。 分为 可利用性 及 影响度两个子项,是漏洞评估的静态分值。   2. 时间度量。 基础维度之上结合受时间影响的三个动态分值,进而评估漏洞的动态分值。   3. 环境度量。 根据用户实际环境需求结合时间及基础两个维度的分值,是根据用户环境情况重新评估的分值。    漏洞得分对应的危险度如下: ...
Oracle现使用CVSS 3.0对漏洞进行评级
weixin_34348111的博客
08-01 438
Oracle今年4月关键补丁更新(Critical Patch Update)涉及多款产品中的136个漏洞,其中最大的变化是切换到通用安全漏洞评分系统3.0版本或者说CVSSv3,该版本可更准确反映漏洞带来的影响。 Oracle公司在其补丁公告中指出,这个关键补丁更新中的漏洞同时使用3.0和2.0版本的通用安全漏洞评分系统来评分,但未来CPU和安全警...
masbicudo/CVSS-MatLab:用于处理 CVSS 2 和 CVSS 3 的 MatLab 类。-matlab开发
05-29
MatLab 的 CVSS ================ 该包包含用于操作 **CVSS 2** 和 **CVSS 3** 的 MatLab 类。 您可以将 CVSS 字符串加载到 CVSS 类的实例中,然后调用计算*基本分数*、*时间分数*和*环境分数*的方法。 还可以操作 CVSS 实例来添加或更改值。 例子------- ``` c = CVSS2.Parse_Metrics_String('AV:N/AC:L/Au:N/C:N/I:N/A:C'); s = c.Base_Score; btc = c.Fill_Parse('E:U/RL:OF/RC:UC'); % 最佳时间参数bts = c.Temporal_Score; % 获得最好的时间分数 Au = c.Au; % 获取 CVSS 参数值之一(不是字符串) ``` 优化------------- 用于 Mat
CVSS评分维度
01-02
文档取材国际通用标准,安全漏洞评分标准,CVSS标准。
CVE-2024-38063(Windows TCP/IP 远程执行代码漏洞) 漏洞详情
最新发布
yh
08-15 3982
CVE-2024-38063是影响 Windows TCP/IP 的严重 RCE 漏洞。它的 CVSSv3 评分为 9.8,被评为“更有可能被利用”。攻击者可以通过向主机发送特制的 IPv6 数据包来远程利用此漏洞。微软的缓解建议建议禁用 IPv6,因为只有 IPv6 数据包才可以被滥用来利用此漏洞。微软已经为所有受支持的 Windows 和 Windows Server 版本(包括 Server Core 安装)发布了补丁。
cvss评分及漏洞矢量
General_zy的博客
10-25 5123
CVSS2.0对漏洞等级的定义有低、中、高三个级别,CVSS3.0开始补充了“严重”这个级别。C(Confidentiality Impact)代表机密性影响度。A(Availability Impact)代表可用性影响度。PR(Privileges Required)代表权限要求。AC(Attack Complexity)代表攻击复杂度。I(Integrity Impact)代表完整性影响度。AV(Attack Vector)代表攻击途径。S(Scope)代表作用域。
利用CSS3做的星级评分
weixin_44286392的博客
05-18 318
之前在HTML5的课上学到了很多零碎的知识,从老师那儿也获得了很多关于HTML零碎的学习资源。把这些代码分享出来,还可以节省电脑空间。 源码如下: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>用纯CSS3做的星级评分</title> <style> *{padding: 0px;margin: 0px;} .box{ma
【文献翻译】基于CVSS的IT系统网络安全风险定量评估方法-A Quantitative CVSS-Based Cyber Security Risk Assessment Methodology
Mrong1013967的博客
09-02 1060
基于CVSS的IT系统网络安全风险定量评估方法 A Quantitative CVSS-Based Cyber Security Risk Assessment MethodologyFor IT Systems 摘要 由于我们不断增长的IT系统中网络威胁不断增加,IT系统风险评估是必不可少的。此外,法律法规敦促组织定期进行风险评估。尽管存在多个风险管理框架和方法,但这些框架和方法通常是高水平的,没有为不同的风险视图定义风险度量、风险度量值和详细的风险评估公式。为了满足这一需求,我们定义了一种针对I.
CVSS评分策略分析及近年来满分漏洞盘点
C20220511的博客
05-13 9526
01 引言 近两年正如许多安全公司的研究员亲身经历的那样,网络攻击量显著增加,重大漏洞被相继爆出并伴随着在野利用。如去年年底的log4shell(CVE-2021-44228)和今年爆出的spring4shell(CVE-2022-22965)在安全圈里都掀起了不小的风浪。由于在分析spring漏洞时cve编号还没有出来,自评影响力也没那么“核弹级”,后续就没怎么关注这个漏洞的。最近突然想看看这个漏洞CVSS评分,看看官方是怎么给这漏洞做影响力定义的。查看后发现该漏洞CVSSV2.0评分为7.5,CV.
cvss3.0评分指导书说明书
09-20
CVSS(Common Vulnerability Scoring System)是一种用于评估漏洞严重性的标准。CVSS 3.0评分指导书是为了帮助用户正确理解和使用CVSS 3.0评分标准而编写的说明书。 CVSS 3.0评分指导书详细解释了CVSS 3.0评分系统中所使用的各个指标及其计算方法。它包括基本指标、环境指标和矢量字符串等重要内容。基本指标包括攻击复杂性、攻击向量、攻击向量(网络)、攻击向量(用户)、攻击向量(物理)、攻击向量(其他)、机密性、完整性和可用性等,这些指标用于衡量漏洞的危险程度。环境指标包括修复水平、影响范围和攻击复杂性等,用于在考虑部署环境因素的情况下对漏洞进行评估。 指导书还详细说明了如何计算基础分数和经过修订的分数,并解释了分数的不同等级对应的不同危险程度和推荐的应对措施。用户可以根据漏洞的各项指标,在指南的帮助下计算出相应的CVSS分数,并根据分数来确定漏洞的紧急程度以及需要采取的安全措施。 CVSS 3.0评分指导书对于安全研究人员、网络管理员和开发人员来说,都是一个非常有用的工具。它使用户能够更准确地评估漏洞的严重性,及时采取相应的安全措施来保护系统和数据的安全。 总之,CVSS 3.0评分指导书是一本详细解释了CVSS 3.0评分标准的说明书,它为用户提供了评估漏洞严重性的准确、可靠的工具,帮助他们更好地保护系统和数据的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值