CVSS 評分
CVSS 評分會反映漏洞造成的整體安全衝擊,並且是一個複合評分,可反映下列三個不同種類的度量:基本、時間和環境。
評分的計算以這一或多個度量的可用資訊為基礎(例如:值)。在每個度量中提供的資訊越多,CVSS 評分也越清晰。在 AppScan Enterprise 中,每一個度量的值會對映至問題(安全漏洞)的屬性,或問題發現所在之應用程式的屬性。這些屬性無法在 AppScan Enterprise 中刪除或修改,不過您可以修改它們的值。
度量群組 | 度量名稱 | 問題或應用程式的屬性 | 計算 CVSS 評分所需的定義 | 度量說明 |
---|---|---|---|---|
基本 | 存取向量 | 問題 | 是 | 漏洞只能在本端環境下不當運用、也能從相鄰網路不當運用,或從任何網路連線不當運用(可從遠端不當運用)。 |
存取複雜度 | 問題 | 是 | 不當運用這個漏洞所涉及的困難度。 | |
鑑別 | 問題 | 是 | 攻擊者要利用漏洞而必須向目標鑑別的次數。 | |
機密性影響 | 問題 | 是 | 當這個漏洞遭成功利用時,對機密性的影響。 | |
完整性影響 | 問題 | 是 | 如果這個漏洞被順利不當運用,系統完整性(應用程式提供之資訊的正確性)會受損的範圍。 | |
可用性影響 | 問題 | 是 | 當這個漏洞遭成功利用時,對資訊資源之可用性的影響。 | |
時間 | 可探索性 | 問題 | 否* | 不當運用技術或程式碼漏洞的現行狀態。 |
補救層次 | 問題 | 否* | 可用來保護漏洞的補救層次。 | |
報告信心度 | 問題 | 否* | 對漏洞的存在和技術詳細資料的信心程度。 | |
環境 這些度量也會附加至應用程式的整體嚴重性等級。 |
可能的附帶損害 | 應用程式 | 否* | 如果應用程式容易遭到安全漏洞攻擊,表示遭受損壞或盜用的可能性。 |
目標分佈 | 應用程式 | 否* | 環境中成為潛在目標的系統比例。 | |
可用性需求 | 應用程式 | 否* | 資訊可用性的相對重要性。 | |
機密性需求 | 應用程式 | 否* | 使用者資訊機密性的相對重要性。 | |
完整性需求 | 應用程式 | 否* | 資訊完整性或正確性的相對重要性。 |
註:
- * 儘管不一定要定義這些屬性,當定義越多的度量來說明問題時,能使 CVSS 評分更聚焦。
- 任何沒有定義的選用屬性不會包含在 CVSS 評分計算中。
- 如果沒有定義任何必要的屬性,就無法計算 CVSS 評分。在此情況下,問題嚴重性會分類為Undetermined。