帮助我理解CVSS3.1中参数篡改的“低完整性”分数
我对CVSS 3.1中的完整性度量很好奇。
低是:
修改数据是可能的,但攻击者无法控制修改的结果,或者修改的数量有限。数据修改不会对受影响的组件产生直接、严重的影响。
高是:
“完全丢失完整性,或完全丢失保护。例如,攻击者能够修改受影响组件保护的任何/所有文件。或者,只能修改某些文件,但恶意修改将给受影响的组件带来直接、严重的后果。”
根据这种描述,我假设参数篡改的完整性很低,因为我们只能修改给定参数上的一些数据。但是,许多安全厂商在参数篡改方面提供了高价值的完整性。
帮助我理解参数篡改给高完整性。或者,我可以得到一些具有低完整性的漏洞的例子吗?
回答 1
Security用户
发布于 2021-09-25 09:56:37
这是一个影响评分。重要的是攻击者利用该漏洞可以做些什么。大多数情况下,攻击者可以更改参数的“数量”并不重要:您需要查看此更改可能带来的后果。
例如,如果攻击者可以将HasAdminPrivileges从0切换到1,则这是一个影响很大的完整性漏洞,尽管它只是1位更改。
在结帐时修改价格价值将是另一个高影响的例子。如果客户可以通过将价格设置为0来免费获得产品,这将是企业收入的一大损失,因此这是一个很大的影响。
作为一个低影响漏洞的例子,假设一个供应商在他们的生日那天给客户一个折扣:在24小时内,所有的购买都可以享受10%的折扣。生日折扣使用客户的地址来确定时区,客户可以随时更改他们的地址。将时区从基里巴斯东部转到伦敦到有人居住的美国太平洋地区的顾客,可以享受50个小时的折扣。这是对生日参数完整性的破坏,因为它最终覆盖的时间段不是预期的。企业可能会失去预期的收入,但影响非常小,因为它只是一个小的折扣申请略长于预期。这可能是企业不希望修复的漏洞,因为此修补程序可能会影响正在移动并确实需要更改其地址的客户。
https://security.stackexchange.com/questions/255542
复制相似问题
腾讯云开发者
