| CVSS 3.1介绍及具体漏洞CVSS分数指北 | 您所在的位置:网站首页 › 评分有哪些 › CVSS 3.1介绍及具体漏洞CVSS分数指北 |
CVSS 3.1介绍及具体漏洞CVSS分数指北
|
文章目录
1. CVSS 3.1介绍1)基础评价(Base Metric Group):2)生命周期评价(Temporal Metric Group):3)环境评价(Environmental Metric Group):
2. 分析具体漏洞CVSS1)在CVE官网输入CVE号搜索对应漏洞的相关信息2)可以得到漏洞的简要信息,包含如下3)想获知的CVSS评分细节在NVD网站上4)跳转的网站中可以看到详尽信息5)将光标移到向量上可以看见具体信息6)同时我们点击Base Score旁边的方块分数还能进入漏洞评分系统计算器,得到更加精确的分值7)过show equation还能看到计算的公式8)计算
1. CVSS 3.1介绍
CVSS 3.1 是通用漏洞评分系统的最新版本,用于评估漏洞的严重程度。以下是 CVSS 3.1 的评分指标构成: 1)基础评价(Base Metric Group):评估漏洞本身固有的一些特点及这些特点可能造成的影响。 基础评价指的是一个漏洞的内在特征,该特征随时间和用户环境保持不变。基础评价是 CVSS 评分中最重要的一个指标,我们一般说的 CVSS 评分都是指漏洞的基础评价得分。 基础评价的指标分为可利用性指标和影响指标,包括: 攻击向量(AV):衡量攻击者利用漏洞的途径,如网络、相邻网络、本地网络或物理访问。 攻击复杂性(AC):衡量攻击利用漏洞的复杂程度,是低(L)还是高(H)。 所需权限(PR):衡量攻击者利用漏洞所需的权限,如无(N)、低(L)或高(H)。 用户交互(UI):衡量用户是否需要与漏洞交互,如无(N)或需要(R)。 此指标衡量当前利用技术或代码可用性的状态,是否存在任何补丁或解决方法,以及漏洞报告的可信度等。 生命周期评价几乎肯定会随着时间的推移而改变。 3)环境评价(Environmental Metric Group):这些指标使分析师能够根据受影响的 IT 资产对用户组织的重要性定制 CVSS 评分,并根据组织基础结构中组件的情况分配分值。
由于CVSS的计算是序列式的,最终的Overall分数取决于Environmental分数,环境分数取决于Temporal,而Temporal取决于Base Scores基础得分。在本漏洞的评分中,由于Temporal和Environmental缺乏情报,无法进行计算,故Overall=Base Score 通过查表可以得到漏洞的严重等级
|
例如AV:N 表示攻击向量中的网络(N),AC:L表示攻击复杂性维度中的低(L)等级
【本文地址】
公司简介
联系我们