如何对身份提供程序上的漏洞进行CVSS评分

Question

我很难为一个身份提供者给CVSS打分。假设您有一个漏洞，可以绕过身份验证机制。

你会怎么评价：

• 保密(C)
• 廉正(一)
• 可用性(A)

因为你没有与哪个系统连接？

范围正在改变，但我不能假设最坏的情况。这只会不必要地提高比分。

编辑:为了增加清晰度，让我们说，您可以轻松绕过第二个因素，但您仍然需要登录/密码。

我认为这是：https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:N/A:N (我将C/I/A设置为0，因为这是这里的问题)。

由于您需要知道用户的登录/密码，所以我将Privileges (PR)设置为High，但这也可能很低，因为他不是IdP的管理员，而是作为一个标准用户。

或者，具有低权限的攻击者可能只对非敏感资源造成影响。

Answer 1

我不是CVSS计算方面的超级专家，但我会发布一个答案，看看我是否在评论中得到了纠正。

我认为您评估了对受影响组件本身的影响，而不管其他组件连接/依赖于它(这就是CVSS“范围”度量的目的)。

来自CVSSv3.1规范：

2.3.Impact Metrics影响度量捕捉成功利用的漏洞对遭受与攻击最直接和可预测的最坏结果的组件的影响。分析人员应该将影响限制在一个合理的、最终的结果上，他们相信攻击者能够做到这一点。

让我们看一看影响度量定义，根据NVD CVSSv3 3计算器。

机密性影响(C)此度量度量了由于成功利用漏洞而对软件组件管理的信息资源的机密性的影响。机密性是指将信息访问和披露仅限于授权用户，以及防止未经授权用户访问或泄露信息。

如果此漏洞允许您从身份提供程序组件获取未经授权的信息？那么，这当然是肯定的。

如果不是，那么这真的取决于服务提供商(SP) /依赖方(RP)是否是“可预测的合理的最终结果”，这是因为IdP的认证失败而导致的保密问题。

我也不太清楚。

完整性影响(I)此指标衡量成功利用漏洞对完整性的影响。诚信是指信息的可信性和真实性。

如果此漏洞允许您绕过身份验证机制，则来自身份提供程序的信息不再值得信任。几乎可以肯定是高的(I:H)。

可用性影响(A)此度量度量了成功利用漏洞对受影响组件可用性的影响。虽然保密性和完整性影响指标适用于受影响组件所使用的数据(例如信息、文件)的机密性或完整性的丧失，但该指标指的是受影响组件本身的可用性丧失，例如网络服务(例如web、数据库、电子邮件)。由于可用性指的是信息资源的可访问性，消耗网络带宽、处理器周期或磁盘空间的攻击都会影响受影响组件的可用性。

此漏洞是否可用于使身份提供程序崩溃，或以其他方式导致合法用户无法使用该漏洞？它会不出所料地导致依赖它的SPs / RPs中的可用性问题吗？

最后，我不确定我是否回答了你的问题，哈哈。