如何评估漏洞的严重程度——漏洞CVSS简述

最新推荐文章于 2025-04-03 16:51:55 发布
最新推荐文章于 2025-04-03 16:51:55 发布
阅读量977 收藏 10
点赞数 5
分类专栏: 漏洞学习 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_56742836/article/details/143980691
版权

目录

一、什么是漏洞的CVSS

二、漏洞的CVSS对于我们有什么用

三、如何评估漏洞的CVSS

3.1 CVSS版本

3.2 CVSS v3 介绍

一、什么是漏洞的CVSS

CVSS,即 Common Vulnerability Scoring System,常见漏洞评分系统。CVSS的基本组成形式是向量,因为CVSS由很多指标构成。

二、漏洞的CVSS对于我们有什么用

CVSS反应出漏洞的严重程度,对于开发者来说,可以帮助他们决定修复漏洞的先后顺序,对于用户来说,可以帮助用户快速了解漏洞的危害性。

三、如何评估漏洞的CVSS

3.1 CVSS版本

CVSS最开始是由FIRST机构提出,而后版本经过更新迭代,评估标准越来越合理。

至今,CVSS已经推出了v4版本。

3.2 CVSS v3 介绍

目前,NVD(National Vulnerablity Database)中存储的漏洞的CVSS大多数是v3版本(3.0 or 3.1),因此以v3为例,对CVSS评估做详细介绍

CVSS v3共有8个base metric,分别是Attack Vector(AV) / Attack Complexity(AC) / Privilege Required(PR) / User Interaction (UI) / Scope(S) / Confientially Impact (C) / Integrity Impact(I) / Availablly Impact(A),下面简要介绍,详细可参考CVSS v3.0 Specification Document

Attack Vetcor:攻击向量,描述攻击者通过何种手段攻击漏洞

取值:Network/Adjacent/Local/Physical 

Attack Complexity:攻击复杂度:描述攻击者攻击漏洞的复杂度,比如需不需要特定情境下才能攻击,需不需要收集配置等等

取值:High/Low/None

Privilege Required:攻击者攻击漏洞是否需要特权

取值:High/Low/None

User Interatcion:攻击者攻击漏洞是否需要用户交互

取值:Required/None

Scope:漏洞的影响范围

取值:Changed/Unchanged

说明:changed表示漏洞的影响范围不仅限于该包含漏洞组件,反之

Confidently/Integrity/Avialability Impact:对于产品机密性、完整性、可用性影响

取值:High/Low/None

安全漏洞评分系统CVSS
2301_76563067的博客
09-26 3567
通用漏洞评分系统(Common Vulnerability Scoring System,CVSSCVSS得分基于一系列维度上的测量结果,这些测量维度被称为量度(Metrics)。漏洞的最终得分最大为10,最小为0。得分7~10的漏洞通常被认为比较严重,得分在4~6.9之间的是中级漏洞,0~3.9的则是低级漏洞
CVSS评分维度
01-02
文档取材国际通用标准,安全漏洞评分标准,CVSS标准。
CVSS-通用漏洞评分系统版本 4.0:规范文档
最新发布
Sgirll的博客
04-03 532
CVSS 的消费者应使用特定于他们对易受攻击系统的使用情况的威胁和环境指标值来丰富基础指标,以产生一个为组织的风险评估提供更全面输入的分数。此指标测量成功利用漏洞对受影响系统的可用性的影响。虽然机密性和完整性影响指标适用于系统使用的数据(例如,信息、文件)的机密性或完整性损失,此指标指受影响系统的可用性本身的损失,例如网络服务(例如,Web、数据库、电子邮件)。影响指标反映了成功利用的直接后果,并代表了“受影响的事物”的后果,这可能包括对易受攻击系统的影响和/或对正式称为“后续系统”的下游影响。
「 网络安全常用术语解读 」通用漏洞评分系统CVSS详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
03-11 1万+
CVSS全称是Common Vulnerability Scoring System,中文翻译为通用漏洞评分系统,CVSS是一个用于沟通软件漏洞特征和严重性的开放框架,它由FIRST(Forum of Incident Response and Security Teams)定义和维护。CVSS提供了一种方法来获取漏洞的主要特征,并生成反映其严重性的数值评分,取值范围[0,10],取值越高表明漏洞严重,主要用于帮助组织或企业在漏洞管理流程中评估与定级漏洞
cvss评分及漏洞矢量
General_zy的博客
10-25 5636
CVSS2.0对漏洞等级的定义有低、中、高三个级别,CVSS3.0开始补充了“严重”这个级别。C(Confidentiality Impact)代表机密性影响度。A(Availability Impact)代表可用性影响度。PR(Privileges Required)代表权限要求。AC(Attack Complexity)代表攻击复杂度。I(Integrity Impact)代表完整性影响度。AV(Attack Vector)代表攻击途径。S(Scope)代表作用域。
改进的关联性漏洞评估方法:基于CVSS的深度分析与有效性验证
研究者在原有的关联性漏洞评估方法的基础上,着重分析了通用漏洞评估系统(CVSS)在衡量漏洞可利用性方面的局限性。CVSS是一个广泛使用的漏洞评估框架,但它可能忽视了一些关键的漏洞特性,如攻击路径的复杂性、漏洞...
CVSS2-Calculator:CVSSv2.js 是一个免费开源的 Javascript 库,基于通用漏洞评分系统 (CVSS) 2.0 版计算器,更易于共享和部署
06-11
通用漏洞评分系统 ( CVSS ) 是一种免费且开放的行业标准,用于评估计算机系统安全漏洞严重程度。 它(FIRST) 管理。 它试图建立衡量一个漏洞与其他漏洞相比需要多大程度的关注,因此可以优先考虑工作。 分数基于一...
CVSS3.0详解:公开漏洞评估框架与严重性评分指南
其目的是提供一个标准化的方法来评估软件漏洞的特性及其严重性,以便于确定修补的优先级。CVSS 3.0分为三个主要的度量组:基础(Base)、时间(Temporal)和环境(Environmental)。 基础度量衡量的是漏洞本身的...
一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVE、CWE及其与CVSS之间的关系
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-14 5761
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。
深入了解通用漏洞评分系统(CVSS
qq_33163046的博客
09-23 4444
2015 年,CVSS 3.0 版本发布。它新增了用户交互(UI)和必要权限(PR)两个指标,为攻击复杂度(AC)指标引入了新的取值,还新增了 Scope (S) 指标来处理漏洞影响其他系统的情形。这一版本在漏洞评估的准确性和全面性上有了很大的提升。 2019 年,CVSS 3.1 版本推出。它没有引入新的指标,主要是对标准给出了更清晰的解释,增加了易用性,使得安全专业人员更容易理解和应用 CVSS 标准。 2023 年 10 月,CVSS 4.0 版本正式发布。它重新定义了评分术语体系,强调 CVSS
CVSS评分策略分析及近年来满分漏洞盘点
C20220511的博客
05-13 1万+
01 引言 近两年正如许多安全公司的研究员亲身经历的那样,网络攻击量显著增加,重大漏洞被相继爆出并伴随着在野利用。如去年年底的log4shell(CVE-2021-44228)和今年爆出的spring4shell(CVE-2022-22965)在安全圈里都掀起了不小的风浪。由于在分析spring漏洞时cve编号还没有出来,自评影响力也没那么“核弹级”,后续就没怎么关注这个漏洞的。最近突然想看看这个漏洞CVSS评分,看看官方是怎么给这漏洞做影响力定义的。查看后发现该漏洞CVSSV2.0评分为7.5,CV.
CVSS 3.1介绍及具体漏洞CVSS分数指北
Zichel77的博客
03-03 7398
CVSS 3.1 是通用漏洞评分系统的最新版本,用于评估漏洞严重程度
CVSS(Common Vulnerability Scoring System)打分规则解读
weixin_42316952的博客
09-13 403
CVSS(Common Vulnerability Scoring System)提供了一种根据漏洞的主要特征进行打分,反映其严重性的方法。CVSS 已成为被广泛使用的标准。 下面是CVSS 3.1版本计算器的界面截图,本文对Base Score的打分标准做解读,并提供一些建议。同时会对每个维度选项做翻译。 Attack Vector 攻击向量 从广域网、局域网攻击。Network。 要跑...
漏洞风险评估CVSS介绍及计算
热门推荐
YQ的博客
05-14 5万+
本文出自 “Jack zhai” 博客,请务必保留此出处http://zhaisj.blog.51cto.com/219066/56451  CVSS的计算公式与参数   1、基本度量值的计算公式与参数      2、时间度量值的计算公式与参数      3、环境度量值的计算公式与参数      4、脆弱性值计算公式   V = INT [ (
安全漏洞评分系统(CVSS
KerryRuan的专栏
04-08 3万+
CVSS : Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞严重程度,并帮助确定所需反应的紧急度和重要度”。 CVSS安全内容自动化协议(SCAP)[2]的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。 CVSS的目标是为所有软件安全漏洞提供一个严重程度的评级
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

rebegin_2023

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值