58、漏洞报告编写与CVSS评分系统全解析

于 2025-07-26 09:48:01 发布
阅读量32 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 《动手黑客攻击》:从入门到精通 文章标签: CVSS评分系统 SQL注入漏洞 漏洞报告编写
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/plant/article/details/149680461

漏洞报告编写与CVSS评分系统全解析

1. 常见漏洞评分系统(CVSS)

1.1 CVSS简介

CVSS(Common Vulnerabilities Scoring System)是一种对漏洞进行评分的方法,本文主要介绍2019年6月发布的3.1版本。你可以通过访问 nvd.nist.gov/vuln-metrics/cvss/v3-calculator 在线免费计算漏洞分数,也可以使用其他类似计算器,甚至自己开发。若想详细了解CVSS,可访问 www.first.org/cvss

CVSS可通过专业计算器(实现特定公式)为任何漏洞计算0 - 10分的分数,0表示无风险,10表示严重风险,该分数有助于向客户解释发现问题的相对风险。

1.2 计算基础分数的指标

计算基础分数需要考虑以下指标:
- 攻击向量(Attack Vector) :可分为网络(network)、相邻网络(adjacent network)、本地(local)和物理(physical)。例如,公开可访问的Web应用中的SQL注入漏洞通常为网络攻击向量,意味着可远程利用;相邻网络表示只能从同一内部网络的其他主机利用,风险较低;本地表示需先获得主机访问权限;物理则要求攻击者实际物理接触受影响的机器。
- 攻击复杂度(Attack Compl

了解本专栏 订阅专栏 解锁全文 超级会员免费看
漏洞评分系统CVSS
KerryRuan的专栏
04-08 3万+
CVSS : Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。 CVSS是安内容自动化协议(SCAP)[2]的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新。 CVSS的目标是为所有软件安漏洞提供一个严重程度的评级
2021年物联网设备CVE天梯榜
Lab0431的博客
01-20 6591
2021年物联网设备CVE天梯榜 时间飞逝,转眼间来到了2022年。新的一年即将开始,一年即将开始,让我们来回顾一下2021年的物联网设备CVE情况。2021年CVSSV3平均值为5.5,2020年CVSSV3平均值为6.1,同比去年下降0.6。通过平均值的对比,我们可以清楚的看到各大厂商在2021年对物联网安的重视性越来越高,产品也越来越安。物联网我们的生活息息相关,看到物联网的安性的不断的提高,作为用户对我们自己的隐私等有了更安的保证。我们作为一家专注于物联网安的公司,统计了以下品牌部分评分
CVSS评分维度
01-02
文档取材国际通用标准,安漏洞评分标准,CVSS标准。
通用漏洞评估方法CVSS3.0详解
u013904410的博客
10-28 3万+
CVSS(Common Vulerability Scoring System, 通用漏洞评估方法),是由NIAC 发布、FITST维护的开放式行业标准,CVSS 的发布为信息安产业从业人员交流网络中所存在的系统漏洞的特点影响提供了一个开放式的评价方法。 1.度量(Metrics) CVSS3.0由三个基本尺度组成, 基本(Base):代表着漏洞的原始属性,不受时间环境的影响,又由Ex...
如何评估漏洞的严重程度——漏洞CVSS简述
weixin_56742836的博客
11-30 1187
CVSS,即 Common Vulnerability Scoring System,常见漏洞评分系统CVSS的基本组成形式是向量,因为CVSS由很多指标构成。目前,NVD(National Vulnerablity Database)中存储的漏洞CVSS大多数是v3版本(3.0 or 3.1),因此以v3为例,对CVSS评估做详细介绍。
CVSS评分策略分析及近年来满分漏洞盘点
C20220511的博客
05-13 1万+
01 引言 近两年正如许多安公司的研究员亲身经历的那样,网络攻击量显著增加,重大漏洞被相继爆出并伴随着在野利用。如去年年底的log4shell(CVE-2021-44228)和今年爆出的spring4shell(CVE-2022-22965)在安圈里都掀起了不小的风浪。由于在分析spring漏洞时cve编号还没有出来,自评影响力也没那么“核弹级”,后续就没怎么关注这个漏洞的。最近突然想看看这个漏洞CVSS评分,看看官方是怎么给这漏洞做影响力定义的。查看后发现该漏洞CVSSV2.0评分为7.5,CV.
漏洞风险评估:CVSS介绍及计算
热门推荐
YQ的博客
05-14 5万+
本文出自 “Jack zhai” 博客,请务必保留此出处http://zhaisj.blog.51cto.com/219066/56451  CVSS的计算公式参数   1、基本度量值的计算公式参数      2、时间度量值的计算公式参数      3、环境度量值的计算公式参数      4、脆弱性值计算公式   V = INT [ (
CVSS v3.0漏洞评级标准
weixin_30840573的博客
01-23 3420
主要参考漏洞盒子帮助中心,详见附件。 转载于:https://www.cnblogs.com/fanfeng/p/10309994.html
Oracle现使用CVSS 3.0对漏洞进行评级
weixin_34348111的博客
08-01 510
Oracle今年4月关键补丁更新(Critical Patch Update)涉及多款产品中的136个漏洞,其中最大的变化是切换到通用安漏洞评分系统3.0版本或者说CVSSv3,该版本可更准确反映漏洞带来的影响。 Oracle公司在其补丁公告中指出,这个关键补丁更新中的漏洞同时使用3.0和2.0版本的通用安漏洞评分系统评分,但未来CPU和安警...
CVSS2-Calculator:CVSSv2.js 是一个免费开源的 Javascript 库,基于通用漏洞评分系统 (CVSS) 2.0 版计算器,更易于共享和部署
06-11
CVSSv2.js 是一个免费的开源 Javascript 库,它基于通用漏洞评分系统 (CVSS) 2.0 版计算器,该计算器基于但更易于共享和部署。 CVSS2 算法如何工作? 通用漏洞评分系统 ( CVSS ) 是一种免费且开放的行业标准,用于...
漏洞评分系统CVSS
09-28
漏洞评分系统CVSS是衡量软件安漏洞严重性的重要工具,由FIRST组织提出,并成为ITU-T和NIST的推荐标准。CVSS通过一系列量度(Metrics)为漏洞提供0到10的分数,帮助安专家和企业理解漏洞的潜在危害程度,以便...
CVSS3.0打分学习
weixin_30606669的博客
03-21 1603
打分计算器: Common Vulnerability Scoring System Version 3.0 Calculator:https://www.first.org/cvss/calculator/3.0 打分导图: Scoring Rubric The scoring rubric provides a quick reference to scoring ...
通用弱点评价体系(CVSS)简介
xp6033的专栏
11-01 1790
http://www.xfocus.net一、综述弱点(vulnerabilities)是网络安中的一个重要因素,在多种安产品(如漏洞扫描、入侵检测、防病毒、补丁管理等)中涉及到对弱点及其可能造成的影响的评价。但目前业界并没有通用统一的评价体系标准。通用弱点评价体系(CVSS)是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准,可以对
通用漏洞评估方法CVSS3.0简表
avgio28264的专栏
04-15 1893
CVSS3.0计算分值共有三种维度:   1. 基础度量。 分为 可利用性 及 影响度两个子项,是漏洞评估的静态分值。   2. 时间度量。 基础维度之上结合受时间影响的三个动态分值,进而评估该漏洞的动态分值。   3. 环境度量。 根据用户实际环境需求结合时间及基础两个维度的分值,是根据用户环境情况重新评估的分值。    漏洞得分对应的危险度如下: ...
通用漏洞评估方法CVSS 3.0 计算公式及说明
avgio28264的专栏
04-15 6458
CVSS 3.0 计算公式及说明 一、基础评价 1. 基础评价公式为:   当 影响度分值<= 0: 基础分值 = 0   当 0 < 影响度分值+ 可利用度分值 < 10:     作用域 = 固定: 基础分值= Roundup(影响度分值+ 可利用度分值)     作用域 = 变化: 基础分值 = Roundup[1.08 × (影响度分值+ ...
APA多步垂直泊车局路径规划MPC控制算法联合仿真,开源版持续迭代更新
08-11
APA多步垂直泊车系统的仿真研究,重点探讨了CarsimMatlab在自动泊车仿真中的联合应用。文章首先介绍了Carsim场景及车辆配置文件,展示了如何模拟车辆在不同道路条件下的行驶轨迹和碰撞风险。接着讨论了Simulink文件中的纵向逻辑控制,包括动力分配和刹车控制等。随后阐述了MPC横向控制算法文件的作用,即通过预测未来的系统状态来优化车辆的横向移动和控制。最后,文章讲解了路径规划算法及其局规划方法,强调了基于规则和启发式的路径规划策略。文中提到的所有模型均开源,便于研究人员参考和学习。 适合人群:从事自动驾驶技术研发的研究人员和技术爱好者。 使用场景及目标:适用于希望深入了解自动泊车仿真技术的研究人员,特别是那些关注路径规划和MPC控制算法的人群。目标是帮助他们掌握CarsimMatlab联合仿真的具体实现方法,从而应用于实际项目中。 其他说明:本文不仅提供了详细的理论解释,还附带了完整的开源模型,方便读者进行实践操作和进一步研究。
基于S7-300组态王的污水处理厂沉淀池-V型滤池自动控制系统解析
08-11
基于西门子S7-300 PLC和组态王软件的污水处理厂沉淀池-V型滤池综合控制系统的设计实现。主要内容涵盖梯形图程序逻辑(如液位联锁控制、定时排泥、手动急停)、接线图IO分配细节(如超声波液位计、故障信号、急停按钮等),以及组态王的画面设计(如反冲洗流程动画)。此外,还分享了一些实际应用中的经验和教训,如硬件接线注意事项、定期维护措施等。 适用人群:从事工业自动化领域的工程师和技术人员,尤其是对PLC编程和SCADA系统有研究的人士。 使用场景及目标:适用于需要理解和实施污水处理厂自动化控制系统的场合,帮助工程师掌握S7-300 PLC组态王软件的具体应用方法,提高系统的可靠性和稳定性。 其他说明:文中提供的实例和经验有助于避免常见错误,提升项目的成功率。同时强调了硬件选型和日常维护的重要性,确保系统长期稳定运行。
基于Scrapy框架爬取知乎300万用户数据并使用Pandas进行深度分析的可视化项目-知乎用户数据爬取-用户画像分析-大V识别-数据可视化-Scrapy爬虫-Pandas数据处理.zip
08-11
基于Scrapy框架爬取知乎300万用户数据并使用Pandas进行深度分析的可视化项目_知乎用户数据爬取_用户画像分析_大V识别_数据可视化_Scrapy爬虫_Pandas数据处理.zip面试手撕代码高频题
基于Spark2x分布式计算框架的实时新闻大数据分析可视化系统-实现用户浏览日志采集实时处理-新闻话题热度排名统计-时段流量峰值分析-新闻曝光量监控-数据可视化展示-采用Kaf.zip
最新发布
08-11
基于Spark2x分布式计算框架的实时新闻大数据分析可视化系统_实现用户浏览日志采集实时处理_新闻话题热度排名统计_时段流量峰值分析_新闻曝光量监控_数据可视化展示_采用Kaf.zip大数据实战项目
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值