如何计算CVSS标准中的影响指标

Question

我正在尝试计算CVSS标准中的影响指标(机密性、可用性和完整性)。

有没有人能建议一下这是怎么做的？

Answer 1

您应该使用标准中提供的定义，因为您正在遵循一个标准，以标准化和普遍同意的方式传达调查结果。请参阅本文档：https://www.first.org/cvss/specification-document

Answer 2

首先，在CVSS v2和v3之间是有区别的，所以你需要指定你使用的是哪一个(其中一个“完成”了另一个“高”的可能对中情局的影响)。

在任何情况下，为了评估适当的影响，您都需要了解漏洞和标准。官方标准有许多不同的例子。

这里有几个例子:假设您有一个漏洞，该漏洞允许您通过从远程发送格式错误的请求来使Apache Web Server崩溃。如果我们必须为Web服务器本身分配CVSS分数，则不会影响机密性，因为没有任何信息泄露，完整性也不会受到影响，因为没有数据被操纵。然而，可用性将完全受到影响，因为服务器将不再响应。

然而，让我们假设我们必须为相同的问题分配一个CVSS，只是这一次我们为操作系统(例如，运行http服务器的服务器本身)分配了一个CVSS。虽然机密性和完整性仍然不会受到影响，但服务器的可用性只会受到部分影响。虽然web服务器可能不再响应，但其他服务(例如SSH、Mailserver等)可能会响应。

这是为了表明，CVSS不能自动计算，但必须针对与受影响的软件组件相关的每个漏洞进行评估。该标准还定义了许多其他陷阱，因此我强烈建议您去阅读它！