将CVSS分配给错误配置是正确的吗？

Question

今天早上，我们和一位同事交谈，讨论如何将CVSS分配给一个糟糕的配置。具体来说，我们正在讨论使用HTTP而不是HTTPS是否应该有一个相关联的向量。

在我看来，配置不是一个漏洞，因为它不是一个软件或硬件缺陷，因此可以有一个相关的风险因素，但不是向量或从它得到的分数。

你的意见是什么？

Answer 1

正如注释中所指出的，您的HTTP示例不会出现配置错误。但是，某些倾诉可能会导致或放大漏洞。例如，如果web应用程序上的端点不强制进行身份验证(如果应该的话)，则这将被标记为戊四合报告上的“安全错误配置漏洞”，因为它允许用户或攻击者绕过安全控制，并被评为高风险。

所以我会回答是的，配置可能是一个漏洞，因为它可以使您暴露在攻击面前，就像其他类型的漏洞一样。

你可以给一个配置分配一个cvss分数，但如果这是另一个问题.

Answer 2

漏洞-是一种弱点，可被威胁参与者(如攻击者)利用，在计算机系统内执行未经授权的操作。

如果HTTPS可以在您的系统中以前面的语句为真的方式被利用，那么您就有一个漏洞。

你可以用CVSS计算器来建立你的关键度..。https://www.first.org/cvss/calculator/3.1

如果你想开一个官方的CVSS身份证，理论上你可以.虽然我不记得见过一个。

对于网站来说，这是没有意义的。

该示例可能更适合于不允许使用https进行身份验证和与服务器共享机密数据的移动应用程序，而这一更正将迫使新的应用程序修订版提供给pubilc进行更新。在这种情况下，应该是应用程序的一个缺陷。