Paramètres CVSS
Vous pouvez affiner manuellement le paramètre de gravité d'un problème spécifique à l'aide de métriques CVSS (Common Vulnerability Scoring System). Pour ce faire, à partir de la barre d'outils Informations sur les problèmes, cliquez sur Gravité > Paramètres CVSS.
AppScan utilise la norme CVSSv2.
- A partir de la fenêtre CVSS, cliquez sur le nom de l'une des trois sections afin d'ouvrir cette section pour la configuration.
- Vous pouvez restaurer les paramètres par défaut en cliquant sur , qui devient active une fois les modifications effectuées.
Mesures de base
Il s'agit des mesures de vulnérabilité qui sont constantes dans le temps et entre les environnements utilisateur.
Mesure |
Explication |
Options |
---|---|---|
Vecteur d'accès |
Indique si la vulnérabilité est exploitable en local uniquement, mais aussi à partir de réseaux adjacents ou d'une connexion réseau ("exploitable à distance"). |
Local, Réseau adjacent, Réseau |
Complexité de l'accès |
Difficulté impliquée dans l'exploitation de cette vulnérabilité. |
Elevée, Moyenne, Faible |
Authentification |
Nombre de fois qu'un pirate doit s'authentifier pour exploiter la vulnérabilité. |
Aucune, Une, Plusieurs |
Impact sur la confidentialité |
Impact sur la confidentialité si cette vulnérabilité est correctement exploitée. |
Aucun, Partiel, Complet |
Impact sur l'intégrité |
Etendue des risques pour l'intégrité du système (précision des informations fournies par l'application) si cette vulnérabilité est correctement exploitée. |
Aucun, Partiel, Complet |
Impact sur la disponibilité |
Impact sur la disponibilité des ressources d'information si cette vulnérabilité est correctement exploitée. |
Aucun, Partiel, Complet |
Mesures temporelles
Il s'agit des mesures de vulnérabilité qui peuvent changer dans le temps.
Mesure |
Explication |
Options |
---|---|---|
Possibilité d'exploitation |
Etat actuel des techniques d'exploitation qui utilisent cette vulnérabilité. |
Non prouvé, Preuve de concept, Fonctionnel, Elevé, Non défini |
Niveau de résolution |
Niveau de résolution disponible pour se protéger de la vulnérabilité. |
Correctif officiel, Correctif temporaire, Solution palliative, Non disponible, Non défini |
Niveau de fiabilité du rapport |
Degré de fiabilité dans l'existence et les détails techniques de la vulnérabilité. |
Non confirmé, Non corroboré, Confirmé, Non défini |
Mesures environnementales
Ces mesures reflètent l'environnement de l'application et doivent être définies de manière globale à l'aide de la boîte de dialogue Configuration et de l'onglet Mesures environnementales. Ne les modifiez ici que si cette vulnérabilité est spécifique à un composant de l'environnement d'application qui possède des caractéristiques différentes.
Mesure |
Explication |
Options |
---|---|---|
Dommage collatéral potentiel |
Dommage ou vol potentiel si l'application est vulnérable. |
Aucun, Faible, Moyennement faible, Moyen, Moyennement élevé, Elevé, Non défini |
Distribution cible |
Proportion de systèmes dans l'environnement qui sont des cibles potentielles. |
Aucune, Faible, Moyenne, Elevée, Non définie |
Exigence de disponibilité |
Importance relative de la disponibilité (des informations). |
Aucune, Faible, Moyenne, Elevée, Non définie |
Exigence de confidentialité |
Importance relative de la confidentialité (des informations utilisateur). |
Aucune, Faible, Moyenne, Elevée, Non définie |
Exigence d'intégrité |
Importance relative de l'intégrité (précision) des informations. |
Aucune, Faible, Moyenne, Elevée, Non définie |