为几个OWASP前10大漏洞确定CVSS v3作用域参数

Question

我试图在cvss v3上得分owasp前10名，而且我在为一些人分配“范围”参数时遇到了困难。如果有故障，请更正下面的列表。

• SQL注入:已更改。易受攻击组件: Web服务器/数据库server受影响组件:Web应用程序。可能导致webapp不可用。
• XSS:更改的易受攻击组件: webserver受影响组件:浏览器
• 未经验证的重定向:更改的易受攻击组件: webserver受影响组件:浏览器(可下载恶意软件)
• CSRF:不变
• 会议固定:不变
• 不安全的直接对象引用:未更改
• 不受限制的文件上传:更改的易受攻击组件: server受影响组件:可能是主机操作系统

Answer 1

作用域在CVSSv3

中

范围在文档中定义：

当受一个授权范围管辖的软件组件的漏洞能够影响另一个授权范围所管辖的资源时，就会发生范围更改。

示例

1) SQL注入:已更改。易受攻击组件: Web服务器/数据库server受影响组件:Web应用程序。可能导致webapp不可用。

我不同意你的推理，但同意改变范围。

易受攻击的组件是web应用程序:该漏洞不是由服务器或DBMS引入的，但由于web应用程序将用户输入插入到SQL查询中，所以存在此问题。

受影响的组件是数据库，因为它控制着它所持有的数据，而攻击可以从数据库中提取不应该可用的信息。如果可以执行系统命令，或者可以上传文件，服务器也会受到影响。

其他意见：

• CVE-2015-8604被评为不变的作用域。
• 高技术桥在一篇关于CVSSv3的博客文章中将SQL注入评为已更改的范围。
• 高技术桥在其CVSSv3计算器中将SQL注入评为不变的作用域。

可以看出，至少在对SQL注入的范围进行评级方面存在一些不明确的地方。我还没有找到任何确定SQL注入范围的其他示例。

2) XSS:更改的易受攻击组件: webserver受影响组件:浏览器

这是合理的，这也是在他们的XSS实例中第一次评价它的方式。

3)未经验证的重定向:更改。易受攻击组件: webserver受影响组件:浏览器(可下载恶意软件)

出于与XSS相同的原因，这也是有意义的。

4) CSRF:不变

这也是合理的，也是第一次在他们的CSRF实例评级。易受攻击组件和受影响组件都是web应用程序。

5)会议固定:不变

出于与CSRF同样的原因，这也是有意义的。

6)不安全的直接对象引用:未更改

出于与CSRF同样的原因，这也是有意义的。

7)不受限制的文件上传:更改的易受攻击组件: web server受影响组件:可以是主机操作系统

这说得通。

Answer 2

引入此参数是因为某些不同的系统可能会受到影响。XSS是一个非常真实的例子--在CVSS的早期版本中，XSS的得分很低，因为虽然web应用程序中存在漏洞，但web应用程序本身或它运行的服务器并没有受到真正的影响--但受害的是另一个用户。

ARP中毒之类的情况也是如此。这并没有真正影响到被攻击的交换机或路由器，而是在同一个网络中的其他设备，这些设备现在可以成为‘中间人’。

有关更多解释，请参见https://www.first.org/cvss/user-guide。

因此，对于XSS，我认为您使用"C“分数是正确的，但是对于SQL注入，我不太确定。这是对有关应用程序的一个简单的侵入。(当然，除非发生了一些数据库错误配置，从而有可能进一步危及网络-但SQL注入本身只应影响相关应用程序)。

Answer 3

我认为SQL注入的作用域大部分时间不变。

下面是一些SQL注入漏洞的示例，CVSS 3得分：

• CVE-2019-6295
• CVE-2019-3494
• CVE-2018-12052
• CVE-2018-11309
• CVE-2018-1280
• CVE-2017-6550
• CVE-2016-10204
• CVE-2016-9272
• CVE-2016-5792
• CVE-2016-3172
• CVE-2016-2386
• CVE-2015-8604

所有这些都没有改变范围。

也有更改作用域的SQL注入，但这些不是普通的SQL注入：

• CVE-2016-8027
• CVE-2013-0375

尽管我非常肯定SQL注入的作用域没有变化，但我对CVSS作用域的了解还不足以确定为什么会这样。