cvss,全稱common vulnerability scoring system,即「通用漏洞評分系統」,是乙個「行業公開標準,其被設計用來評測漏洞的嚴重程度,並幫助確定所需反應的緊急度和重要度」??。
cvss是安全內容自動化協議(scap)??的一部分,通常cvss同cve一同由美國國家漏洞庫(nvd)發布並保持資料的更新。
cvss3.0由三個基本尺度組成,
基本(base):代表著漏洞的原始屬性,不受時間與環境的影響,又由exploitability可執行性與影響程度impact?度量。
時間(temporal):反應漏洞隨著時間推移的影響而不受環境影響,舉個簡單的例子,隨著乙個漏洞軟體的補丁不斷增加,該漏洞的cvss分數會隨之減少。
環境(environmental):代表特定環境下執行漏洞的分數,允許根據相應業務需求提高或者降低該分值。
base分值由專業的分析人員給出,分數在0.0-10.0之間,可以在美國國家漏洞資料庫官網上搜到相應cve漏洞的分值
***向量(**)
網路(n)/鄰居(a)/本地(l)/物理(p)
0.85 / ? 0.62 / 0.55 / 0.2
***複雜度(ac)
低(l)/高(h)
0.77 / ? 0.44
許可權要求(pr)
無(n)/低(l)/高(h)
0.85 / 0.62(0.68) / ? 0.27(0.50)
使用者互動(ui)
不需要(n)/需要(r)
0.85 / ? 0.62
影響範圍(ui)
不改變(u)/改變(c)
根據impact sub ? score和isc取值
機密性(c)
無(n)/低(l)/高(h)
0 / 0.22 ? /?0.56
完整性(i)
無(n)/低(l)/高(h)
0 / 0.22 ? /?0.56
可用性(a)
無(n)/低(l)/高(h)
0 / 0.22 ? /?0.56
利用**的成熟度(e)
未驗證(u)/poc(p)/exp(f)/自動化利用(h)
0.91 / 0.94 / 0.97 / 1
修復方案(rl)
正式補丁(o)/臨時補丁(t)/緩解措施(w)/不可用(u)
0.95 / ? 0.96 / 0.97 / 1
**可信度(rc)
未知(u)/未完全確認(r)/已確認(c)
0.92 / 0.96 / 1
環境分數(可選)
機密性要求(cr)
未定義(x) 低(l) 中(m) 高(h)
完整性要求(ir)
未定義(x) 低(l) 中(m) 高(h)
可用性要求(ar)
未定義(x) 低(l) 中(m) 高(h)
修改基礎度量指標
(modified ? base metrics)
modified attack vector (m**) ? modified attack complexity (mac) ? modified privileges required (mpr) ? modified user interaction (mui) ? modified scope (ms) ? modified confidentiality (mc) ? modified integrity (mi) ? modified **ailability (ma)
詳細資訊可檢視cvss 3.0 官網:
舉例:某主機的漏掃結果如下:
?以上可以通過cvss的值來檢視漏洞的風險等級。
以上可以通過cvss的值來檢視漏洞的風險等級。
如何正確對待通用安全漏洞評分系統 CVSS
對任何處理軟體漏洞的人而言,cve和cvss通常是尋找細節過程中的第一步,通過這兩步,人們可以發現有關漏洞的全部細節。通用漏洞評分系統 cvss 誕生於2007年,是用於評估系統安全漏洞嚴重程度的乙個行業公開標準。cvss現在已經進入第二個版本,第三版正在開發中。它的主要目的是幫助人們建立衡量漏洞嚴...
10 軟體通用漏洞利用
例項1 gitstack通用漏洞利用 gitstack是一款windows上設定自己的專用git伺服器的軟體。利用它可以建立乙個前沿版本控制系統,無需任何git知識。開發用的 gitstack也使得安全並保持伺服器更新變得非常簡單。gitstack構建在真正git for windows的頂部,並且...
模型評估方法
有些自己熱愛卻因為被迫無奈而放棄的東西,慢慢記錄吧。以後想起,我還會知道自己學過這些。機器學習 周志華著的這本書是乙個很好的學習資料,其實我更喜歡這本書的樣子,漂亮而且有種童話故事的感覺。一 經驗誤差與過擬合 1.無論什麼時候,我們都希望得到乙個泛化誤差 在新樣本上的誤差 小的學習器。但有時候會出現...