CVSS和链式漏洞

Question

假设一个网站有两个漏洞：

1. 信息披露
2. 反射XSS

它们本身的影响在特定的网站上是有限的，但是当它们被链接在一起时，其影响就太高了(例如将钱转移到另一个帐户)。

怎样才是最合适的方法来展示这些弱点？

关于集思广益，我想说至少有三种选择：

1. 只是有这两个漏洞，而不考虑链式影响。
2. 将这两个漏洞合并为一个具有很大影响的漏洞。
3. 有三个漏洞，最初的两个加上两个链接时受影响的关键功能。

第一个选项看起来不合适，第三个选项，列出一个额外的漏洞可能是多余的。第二个选项看起来不算太糟，但如果两个漏洞本身就很重要，那么这两个漏洞都有自己的位置可能更合适。

Answer 1

您的#3是在CVSS用户指南中显式描述的：

CVSS旨在对单个漏洞进行分类和分级。但是，重要的是要支持漏洞分析社区的需要，方法是适应在单个攻击过程中利用多个漏洞来危害主机或应用程序的情况。以这种方式对多个漏洞的评分称为漏洞链接。请注意，这并不是一个正式的度量标准，而是作为分析人员在对这类攻击进行评分时的指南。在对一系列漏洞进行评分时，分析人员有责任确定将哪些漏洞组合在一起形成链接得分。分析人员应该列出明显的漏洞及其得分，以及连锁得分。例如，这可以在张贴在网页上的漏洞披露通知内传达。

Answer 2

你可能把风险和CVSS混为一谈。漏洞是单独评分的，漏洞链是一种攻击或攻击，这不是CVSS的目的。

如果你选择了选项2或3，并且网站只修复了其中一个漏洞，那么你的得分将是错误的，需要重新计算。如果该网站有30个漏洞，而不是2个，这将是困难的，因为您将不得不计算每一个可能的链。