在新公司快速分享什么事 CVSS 顺手整理一下 :)
CVSS (Common Vulnerability Scoring System) 是一种安全严重程度的评断方式
目前版本已经到 v3.1[0] 可以根据各种维度来判断一个安全性问题
简单可用两个部分来解读:影响范围 (Impact Metrics) 与 攻击方式 (Exploitability Metrics)
## 影响范围 ##
为了我解释方便,简单将范围分为 可读(Confidentiality)、可写 (Integrity)、不可用 (Availability)
实际的描述还是请参考 CVSS Spec 上的描述
当一个 bug 被视为是安全性问题时 CVSS 判断至少影响一个范围
像是 CWE-548[1] 就可以当作对 C 有影响 而 CWE-400[2] 则是对 A 有影响
而每个 CIA 又可以分为三种程度:None (不影响)、Low (部分)、High (全部)
## 攻击方式 ##
除了影响范围之外 CVSS 也判断攻击者利用哪些方式、前提 才可以真正地进行攻击
像是 AV (Attack Vector) 维度 就是判断需要利用网络、内网、网络无关或实体接触
很明显的 网络跟实体接触代表不一样的攻击难度 相对的 CVSS 分数也会不一致
而 PR (Privileges Required) 代表攻击者需要拥有何种身份
## 举例 ##
Shellshock (CVE-2014-6271) 9.8 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Heartbleed (CVE-2014-0160) 7.5 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
两个都是知名的安全性漏洞 分别对应到不一样的 CVSS 分数
用 CIA 来看 Shellshock 三者都是 H (C:H/I:H/A:H) 而 Heartbleed 只有 C 为 H IA 皆不影响
代表 Shellshock 攻击后就可以为所欲为 (可读、可写、可破坏) 但 Heartbleed 只能够任意读
用攻击难度来看两者都是 AV:N/AC:L/PR:N/UI:N/S:U。分别代表
AV:N -> 网络可连线对象就可以攻击
AC:L -> 攻击不需要满足复杂的前提
PR:N -> 攻击者不需要登入、拥有特定权限
UI:N -> 攻击者不需要跟任意使用者互动 (e.g. 钓鱼)
S:U -> 攻击者拥有的权限跟服务权限一致
[0]: https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
[1]: https://cwe.mitre.org/data/definitions/548.html
[2]: https://cwe.mitre.org/data/definitions/400.html