CVSS(Common Vulnerability Scoring System)通过基本评价、临时评价和环境评价来评估漏洞风险。基本评价涉及攻击途径、复杂度、认证、机密性、完整性和可用性;临时评价关注利用代码、修复措施和报告可信度;环境评估则考虑影响程度、目标分布和安全要求。了解这些要素有助于深入理解漏洞的严重性。
CVSS对漏洞的评价主要分三个部分,一是基本评价,二是临时评价,又叫生命周期评价,三是环境评价,下面针对这三类详细说明。
1 基本评价
基本评价主要涉及到攻击途径、攻击复杂度、攻击过程认证、机密性影响、完整性影响、可用性影响。
1.1 攻击途径
主要从发起攻击的物理位置角度描述,比如是否需要内网才能发起攻击等。详细取值如下:
1.2 攻击复杂度
攻击复杂度主要是从攻击是否需要具备一些特定条件的角度进行描述的,详细如下:
1.3 攻击认证
攻击认证主要是从攻击过程中对认证的需求进行描述。
1.4 机密性影响
机密性影响主要是从漏洞攻击后,主机机密信息泄漏的程度进行描述。
1.5 完整性影响
完整性影响主要是从漏洞攻击后,主机遭受破坏的程度进行描述的。
1.6 可用性影响
可用性影响主要是从漏洞攻击后,主机等是否可用进行描述的。
2 临时评价
临时评价主要是从漏洞有没有现成的攻击利用模块、有没有提供修复方案、报告漏洞的来源的可信度等。
2.1 利用代码
2.2 修复措
最低0.47元/天 解锁文章
284
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
