1. 常见问题
  2. /
  3. 关于安全问题
  4. /
  5. 安全问题处置优先级

如何区分安全问题处置优先级

更新时间: 2023-12-22 17:01:43

一、功能简介

在同一个项目中可能会存在多个安全问题,为了让使用者更清晰的判断安全问题的危害性及修复的优先级,墨菲安全通过缺陷组件中的存在的安全漏洞进行评判。根据安全漏洞的 墨菲CVSS评分是否存在POC是否存在可直接导致数据泄露的漏洞类型漏洞利用成本 4 个维度,为安全问题的修复优先级进行了定义。

二、处置等级说明

2.1 强烈建议修复

  • 条件:CVSS>=7(高危以上)、有 POC 、存在可直接导致数据泄漏的漏洞类型 、利用条件为低

2.2 建议修复

  • 条件 1:CVSS>=7(高危以上)、有 POC 的、存在可直接导致数据泄漏的漏洞类型 、利用条件为高
  • 条件 2:CVSS>=7(高危以上)、有 POC 的、存在可直接导致数据泄漏的漏洞类型 、利用条件为中
  • 条件 3:CVSS>=7(高危以上)、有 POC 的、不存在可直接导致数据泄漏的漏洞类型 、利用条件为低
  • 条件 4:CVSS>=7(高危以上)、有 POC 的、不存在可直接导致数据泄漏的漏洞类型 、利用条件为中
  • 条件 5:CVSS>=7(高危以上)、有 POC 的、不存在可直接导致数据泄漏的漏洞类型 、利用条件为高

2.3 可选修复

  • 条件:其他

三、常见问题

问:可直接导致数据泄露的漏洞类型有哪些?

答:常见类型有以下 9 种

  • 命令注入:CWE-78、CWE-77
  • 代码注入:CWE-94、CWE-95、CWE-917、CWE-47
  • SQL注入:CWE-89
  • 反序列化:CWE-502
  • SSRF:CWE-918
  • 任意文件读取:CWE-548
  • 未授权访问:CWE-497、CWE-306、CWE-284、CWE-285、CWE-287、CWE-250
  • 信息泄漏:CWE-200
  • 输入验证不严:CWE-20

问:什么是 CVSS 评分

答:CVSS(Common Vulnerability Scoring System)是一种用于评估计算机系统和软件漏洞严重性的公共标准,它为每个漏洞分配一个分数,该分数可用于衡量漏洞对系统的威胁程度。CVSS 评分体系是由美国国家基础设施保护中心(NIST)开发的。 CVSS 评分系统考虑了漏洞的多个因素,包括漏洞的访问向量、攻击复杂度、影响范围和影响程度等,以便为每个漏洞分配一个分数。CVSS 评分体系的分数范围从 0 到 10 分,分数越高表示漏洞越严重。 CVSS 评分提供了一种统一的方法来衡量漏洞的严重性,并帮助安全专业人员、开发人员和其他技术人员更好地理解漏洞的威胁,并采取适当的措施来修复或减轻漏洞带来的风险。

问:什么是墨菲 CVSS 评分

答:NVD 中的 CVSS 基础评分是用于评价一个漏洞本身危害程度的评估指标,墨菲安全实验室也会对漏洞的评级进行修正,高危和严重意味着漏洞有更大的影响。

问:什么是 POC

答:一个漏洞被黑客利用通常会经历这几个阶段:漏洞出现 -> 在野利用(指的是被黑客隐蔽的用于攻击特定目标->公开 POC(Proof of Concept ,安全研究人员分析发现并公开漏洞的验证方法)-> 公开 EXP (Exploit ,指被集成到各类攻击工具当中)。很多时候 POC 与 EXP 可能没有区别,对于企业安全工程师而言,一般关注到 POC 就够了。