CVSS v3 中的“范围”是什么意思?

信息安全 简历
2021-08-20 06:35:17

在 CVSS v3 中,“范围”指示应用程序中的漏洞是否影响资源超出其能力范围。它可以具有“已更改”或“未更改”的值。

我不完全了解范围何时更改。例如,在CVSS 示例中,XSS 的范围发生了变化,因为应用程序中的漏洞影响了用户的浏览器。但是使用 XSS,您仍然只能在应用程序上下文中运行 Javascript,这是应用程序最初可以做的事情。在我看来,这似乎不会影响超出其能力的资源。

并且示例 CSRF 漏洞的范围没有改变,尽管就像 XSS 一样,它会触发浏览器中的行为。

当范围改变或不变时是什么意思?

从文档中可以看出,当漏洞穿过授权机构时,范围会发生变化。什么是“授权机构”?

1个回答

当您将输入发送到服务器并且服务器将您的输入作为响应返回而不验证它时,就会发生 XSS 攻击。在这种情况下,漏洞位于服务器网页上(缺乏验证),并且该网页是您的权限范围。但是,该攻击不会危害网页本身。它损害了用户的浏览器。这是发生范围变化的地方。在 CSRF 攻击中,漏洞再次出现在网页上(没有授权令牌),但在这种情况下,攻击不会破坏用户的浏览器,它只会破坏存在漏洞的特定网页,因为精心制作的请求只会在为其制作的特定网站,因此范围不变。(漏洞和妥协在同一个组件中)。我认为 anon 在他的评论中完美地解释了授权授权机构是什么。但希望这会让你更清楚。

其它你可能感兴趣的问题
上一篇GPU 直通安全 下一篇在域名上为用户提供电子邮件地址有什么风险?