CVSS та класифікація вразливостей
Common Vulnerability Scoring System: як оцінити критичність кожної знахідки.
CVSS (Common Vulnerability Scoring System)
CVSS v3.1 — стандартна система оцінки критичності вразливостей від 0.0 до 10.0.
| Score | Рівень | Дія |
|---|---|---|
| 9.0–10.0 | Critical | Виправити протягом 24 годин |
| 7.0–8.9 | High | Виправити протягом тижня |
| 4.0–6.9 | Medium | Виправити протягом місяця |
| 0.1–3.9 | Low | Виправити в наступному циклі |
| 0.0 | None/Info | Інформаційна знахідка |
Метрики CVSS v3.1
Base Score метрики:
Attack Vector (AV):
- Network (N) — через мережу → вищий ризик
- Adjacent (A) — потрібен доступ до мережі
- Local (L) — потрібен локальний доступ
- Physical (P) — фізичний доступ
Attack Complexity (AC): Low / High
Privileges Required (PR): None / Low / High
User Interaction (UI): None / Required
Scope (S): Unchanged / Changed (якщо ефект поширюється за межі вразливого компоненту)
Confidentiality / Integrity / Availability Impact (C/I/A): None / Low / High
Приклади:
- SQLi з повним доступом до БД: CVSS 9.8 (Critical)
- Reflected XSS з User Interaction: CVSS 6.1 (Medium)
- Інформаційне розкриття (server version): CVSS 2.7 (Low)
Онлайн калькулятор
nvd.nist.gov/vuln-metrics/cvss/v3-calculator — офіційний калькулятор NIST.
CWE та CVE
- CWE (Common Weakness Enumeration) — категорія вразливості:
CWE-89= SQL Injection - CVE (Common Vulnerabilities and Exposures) — конкретна вразливість у конкретному продукті:
CVE-2021-44228= Log4Shell
У звіті вказуй:
Title: SQL Injection in /api/products
CVE: N/A (нова, не публічна)
CWE: CWE-89 (Improper Neutralization of Special Elements in SQL Command)
CVSS: 9.8 (Critical) — AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Ресурси для подальшого навчання: TryHackMe Junior Pentester path, HackTheBox Starting Point, курс TCM Security Practical Ethical Hacking (найкращий платний курс для початківців). Книги: 'The Hacker Playbook 3' від TCM Security, 'Penetration Testing' від Georgia Weidman.