CVSS 设置
您可以手动微调基于 CVSS(常见漏洞评分系统)度量值的特定问题的严重性设置。这可通过从“问题信息”工具栏单击严重性 > CVSS 设置来实现。
AppScan 使用 CVSSv2 标准。
要调整度量值:
- 从 CVSS 窗口单击三个部分其中之一的名称,打开该部分以进行配置。
- 可通过单击
来恢复缺省设置,该图标将在发生更改后变成活动状态。
基本度量值
这些是漏洞的固定度量值,不随时间和用户环境的变化而变化。
度量 |
说明 |
选项 |
|---|---|---|
访问向量 |
漏洞是仅可从本地利用,也可从相邻网络利用,还是可从任何网络连接利用(“可远程利用”)。 |
本地、相邻网络、网络 |
访问复杂度 |
利用该漏洞所涉及的困难。 |
高、中、低 |
认证 |
为了利用漏洞,攻击者必须认证的次数。 |
无、一次、多次 |
机密性影响 |
成功利用该漏洞对机密性的影响。 |
无、部分、完整 |
完整性影响 |
成功利用该漏洞后损害系统完整性(由应用程序提供的信息准确性)的程度。 |
无、部分、完整 |
可用性影响 |
成功利用该漏洞对信息资源可用性的影响。 |
无、部分、完整 |
时间度量值
这些是可能会随时间而更改的漏洞度量值。
度量 |
说明 |
选项 |
|---|---|---|
可利用性 |
利用该漏洞的开发技术的当前状态。 |
未核准、概念证明、功能、高、未定义 |
修复级别 |
对漏洞进行防护的可用修复级别。 |
官方修订、临时修订、变通方法、不可用、未定义 |
报告置信度 |
漏洞的存在和技术详细信息的置信度等级。 |
未确定、未证实、已确定、未定义 |
环境度量值
这些度量值反映应用程序环境,并应使用“配置”对话框 >“环境度量值”选项卡全局设置。仅当该漏洞特定于应用程序环境中具有不同特性的某部分时,才在此处对其进行更改。
度量 |
说明 |
选项 |
|---|---|---|
潜在间接损害 |
如果应用程序有漏洞,可能会被损坏或被盗。 |
无、低、低中、中、中高、高、未定义 |
目标分布 |
属于潜在目标的环境中系统的比例。 |
无、低、中、高、未定义 |
可用性需求 |
(信息的)可用性的相对重要性。 |
无、低、中、高、未定义 |
机密性需求 |
(用户信息的)机密性的相对重要性。 |
无、低、中、高、未定义 |
完整性需求 |
信息完整性(精确性)的相对重要性。 |
无、低、中、高、未定义 |