من برخی از مشکلات در محاسبه نمرات CVSS v3.0 در برخی از یافته های من مواجه شده است.
به طور خاص، یک یافته ساده افشای اطلاعات سرور از طریق صفحات خطا به طور پیش فرض است. این بسیار شبیه به موارد زیر است: https://nvd.nist.gov/vuln/detail/CVE-2017-4013
با استفاده از ماشین حساب CVSS v3.0، من نیز به همان همان CVSS بردار (AV : N / AC: L / PR: N / UI: N / S: U / C: L / I: N / A: N) و امتیاز (5.3، متوسط)
به طور مستقیم این یافته نباید باشد یک رسانه از زمانیکه مهاجمان واقعا نمی توانند با افشای بنر کار کنند. من فکر می کنم این باید کم یا حتی اطلاعاتی باشد. IMHO، ماشین حساب CVSS v3.0 به اندازه کافی جزئیات در اجزای تاثیر C / I / A ارائه نمی دهد به درستی برای این حساب.
با این حال، من در لینک بالا متوجه شده است که همچنین یک نمره ضربه و "بهره برداری از نمره "، که در هر دو مورد مناسب هستند. هیچ اشاره ای به این نکته وجود ندارد که چگونه این ها در لینک و یا ماشین حساب CVSS در first.org استخراج می شوند. جستجوی سریع گوگل هیچ کاری هم نمی کند.
می توانم بدانم که چگونه این محاسبه می شود و آیا می توان آنها را برای تغییر رتبه بندی ریسک مورد استفاده قرار داد؟
