漏洞高危 中危 低危的划分标准

最新推荐文章于 2024-07-09 22:14:00 发布
最新推荐文章于 2024-07-09 22:14:00 发布
阅读量1.5w 收藏 5
点赞数

漏洞等级采用CVSS 2.0标准的评分原则,对单个漏洞进行基本向量评分。CVSS : Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。

CVSS系统对所有漏洞按照从0.0至10.0的级别进行评分,其中,10.0表示最高安全风险。

在CVSS系统中获得0.0至3.9的分数的低危漏洞仅可能被本地利用且需要认证。成功的攻击者很难或无法访问不受限制的信息、无法破坏或损坏信息且无法制造任何系统中断。示例:包括默认或可推测的SNMP社区名称以及OpenSSL PRNG内部状态发现漏洞。

在CVSS系统中获得4.0至6.9的分数的中危漏洞可被拥有中级入侵经验者利用,且不一定需要认证。成功的攻击者可以部分访问受限制的信息、可以破坏部分信息且可以禁用网络中的个体目标系统。示例:包括允许匿名FTP可写入和弱LAN管理器散列。

在CVSS系统中获得7.0至10.0的分数的高危漏洞可被轻易访问利用,且几乎不需要认证。成功的攻击者可以访问机密信息、可以破坏或删除数据且可以制造系统中断。示例:包括匿名用户可以获取Windows密码策略。

whatday
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通用漏洞评估系统CVSS4.0简介
Wayne的CSDN博客
05-01 735
笔记源自 Tenable-CVSS4.0讲座分享
安全漏洞评分系统CVSS
2301_76563067的博客
09-26 2288
通用漏洞评分系统(Common Vulnerability Scoring System,CVSS) CVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞
一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVE、CWE及其与CVSS之间的关系
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-14 2617
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。
信息安全技术 网络安全漏洞分类分级指南(GB/T 30279-2020 )
千寻的博客
04-13 1万+
文章目录前  言1 范围2 规范性引用文件3 术语和定义4 缩略语5 网络安全漏洞分类5.1 概述5.2 代码问题5.3 配置错误5.4 环境问题5.5 其他6 网络安全漏洞分级6.1 概述6.2 网络安全漏洞分级指标6.3 网络安全漏洞分级方法附 录 A(规范性附录)被利用性评级表附 录 B(规范性附录)影响程度评级表附 录 C(规范性附录)环境因素评级表附 录 D(规范性附录)漏洞技术评级表附 录 E(规范性附录)漏洞综合评级表附 录 F(规范性附录)漏洞评级示例参 考 文 献 前  言 本标准按照G.
漏洞定级标准参考
空鵼
01-28 8719
SRC漏洞定级标准 分资产,核心资产,一般资产,边缘资产 严重漏洞: 1.不需要登录直接获取设备root权限的漏洞,包括但不限于上传Webshell,任意代码执行,远程命令执行等 2.不需要登录直接导致严重的信息泄露漏洞,包括但不限于重要数据库的SQL注入、系统权限控制不严格等导致的敏感数据泄露漏洞等 3.不需要登录直接导致严重影响的逻辑漏洞,包括但不限于核心账户体系的帐密校验逻辑、支付逻辑漏洞高危漏洞: 1.需要登录的重要业务铭感数据信息泄露漏洞,包括但不限于重要用户信息、配置信息、数据
中危漏洞-会话标识固定修复
weixin_49076592的博客
01-13 585
中危漏洞-shiro框架登录会话标识固定漏洞修复方案
Apache Log4j2(CVE-2021-44228) 高危安全漏洞介绍
m0_54899775的博客
12-13 2331
Apache Log4j2(CVE-2021-44228) 高危安全漏洞介绍 史诗级漏洞
中危漏洞解决
weixin_33834679的博客
03-08 316
中危漏洞解决问题描述:在地址栏中可以直接访问:http://111.17.XX.XX:222/dsideal_yy/WEB-INF/web.xml解决办法:location ~* \.(xml)$ {    root /usr/local/tomcat7/webapps/dsideal_yy/WEB-INF/;    deny all;}...
漏洞风险评估:CVSS介绍及计算
热门推荐
YQ的博客
05-14 5万+
本文出自 “Jack zhai” 博客,请务必保留此出处http://zhaisj.blog.51cto.com/219066/56451  CVSS的计算公式与参数   1、基本度量值的计算公式与参数      2、时间度量值的计算公式与参数      3、环境度量值的计算公式与参数      4、脆弱性值计算公式   V = INT [ (
漏洞等级标准参考建议
qq_40898302的博客
02-21 3846
2.不需要登录直接导致严重的信息泄露漏洞,包括但不限于重要数据库的SQL注入、系统权限控制不严格等导致的敏感数据泄露漏洞等。3.可能存在安全隐患但利用成本很高的漏洞,包括但不限于需要用户连续交互的敏感安全漏洞,例如:解析漏洞、可被暴力破解接口等。1.轻微信息泄露,包括但不限于路径信息泄露、svn信息泄露、phpinfo、日志文件、配置信息等。1.需要登录的重要业务敏感数据信息泄露漏洞,包括但不限于重要用户信息、配置信息、数据文件信息等。2.普通信息泄露漏洞,包括但不限于用户信息泄露和业务敏感信息泄露等。
安全漏洞等级划分关键技术研究
01-15
针对安全漏洞管理过程中涉及到的威胁等级划分问题,选取了访问途径、利用复杂度和影响程度3组安全漏洞评估要素,采用层次分析法建立安全漏洞等级划分模型,将安全漏洞等级评定为超危、高危中危低危4个级别。...
漏洞整改报告模板.docx
08-03
扫描结果显示,系统存在不同级别的安全漏洞,包括高危中危低危等级别。至xxxx年xx月xx日,针对扫描报告中的问题,相关人员已经对相关服务器和服务进行了相应的处理。 二、漏洞分类与处理情况 1. 高危漏洞: ...
区块链漏洞库《区块链漏洞定级细则》.pdf
09-26
- 分为三个等级高危中危低危。 - 定级依据:危害程度(机密性影响C、完整性影响I、可用性影响A)、利用难度(攻击向量AV、攻击复杂度AC、认证Au)以及其他因素。 - 威胁等级与利用难度相互结合,形成一个...
《2023年网络安全漏洞态势报告》
03-01
- **危急程度**:超危与高危漏洞共计15039条,占比51.8%,较前一年增长7.1%。 - **历年对比**:自2017年起,公开漏洞数量呈现逐年稳步增长的趋势,平均每年增长率超过10%。 #### 三、攻击总体态势 - **影响对象**...
360漏洞管理平台产品介绍_V3.0.pdf
09-06
国家信息安全漏洞库(CNNVD)和国家信息安全漏洞共享平台(CNVD)的数据表明,高危中危漏洞占据了相当大的比例,且多数漏洞可用于远程攻击。这凸显了建立有效漏洞管理机制的重要性。 360漏洞管理平台的核心功能...
软件代码漏洞风险等级
最新发布
oscar999的专栏
07-09 199
代码漏洞风险等级通常根据漏洞的潜在影响、利用难易程度以及可能造成的损害程度来划分。不同的组织或机构可能会采用不同的标准或评分系统来评估漏洞风险等级
计算机漏洞分几个等级,网络安全漏洞可以分为各个等级,A级漏洞表示?
weixin_32258195的博客
07-19 5250
满意答案某匪kevin2013.04.04采纳率:44%等级:11已帮助:5835人答案时B----------------分级原则-----------对漏洞分级有助于在漏洞被发现后,提供用户更多的信息以便于更快的给漏洞定位,并决定下一步采取的措施。漏洞按其对目标主机的危险程度一般分为三级:(1)A级漏洞它是允许恶意入侵者访问并可能会破坏整个目标系统的漏洞,如,允许远程用户未经授权访问的...
cvss评分及漏洞矢量
General_zy的博客
10-25 5040
CVSS2.0对漏洞等级的定义有低、中、高三个级别,CVSS3.0开始补充了“严重”这个级别。C(Confidentiality Impact)代表机密性影响度。A(Availability Impact)代表可用性影响度。PR(Privileges Required)代表权限要求。AC(Attack Complexity)代表攻击复杂度。I(Integrity Impact)代表完整性影响度。AV(Attack Vector)代表攻击途径。S(Scope)代表作用域。
文件上传漏洞为什么是高危
06-13
文件上传漏洞是一种常见的Web应用程序安全漏洞,它涉及到网站允许用户上传文件到服务器,但如果没有正确地验证和处理这些上传的文件,可能会导致严重的安全风险。以下是文件上传漏洞被认为是高危的原因: 1. **权限提升(Code Injection)**: 漏洞可能导致攻击者上传包含恶意代码的文件,比如PHP、JavaScript或HTML文件,这些代码在服务器执行时可能会修改网站的配置、数据库记录或执行其他不受限制的操作,从而获取更高的系统权限。 2. **数据泄露(Sensitive Data Exposure)**: 攻击者可能上传包含敏感信息的文件,如数据库备份、源代码或用户的个人信息,这会泄露用户的隐私和商业机密。 3. **攻击链发起点(Attack Vector)**: 文件上传漏洞可成为攻击者进一步入侵的跳板,例如作为脚本上传点,用来下载更多恶意文件、执行命令或利用漏洞进行其他攻击。 4. **文件系统破坏(File System Integrity)**: 对于权限管理不当的服务器,攻击者上传的恶意文件可能会直接修改或删除服务器上的重要文件,导致系统不稳定或不可用。 5. **Web应用服务中断(Denial of Service, DoS)**: 上传大文件或过多文件可能导致服务器资源耗尽,从而对正常用户提供服务造成拒绝服务攻击。 为保护网站免受文件上传漏洞的影响,开发人员应实施严格的文件类型检查、大小限制、内容验证以及使用安全的文件存储路径,确保所有上传的文件都在预期的范围内。同时,更新补丁、使用安全框架和实施安全审计也是关键步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值