概述

當應用程式安全性確定了漏洞時，需要將該漏洞的風險有效地傳達給團隊，以便及時進行修復。
因此，對於應用程式安全性如何對這些漏洞進行分類，需要一套標準的定義。
這些定義確保開發團隊可以快速，輕鬆地了解漏洞對其應用程式或服務造成的潛在風險。
這樣就可以對如何優先解決已知漏洞進行統一理解。

說明

在將安全漏洞與產品團隊進行溝通時，Application Security為每個漏洞的風險定義了定義和類別。
在確定特定漏洞的風險等級時，通過獲取漏洞的影響力和可能性等級並為其給出最終等級來使用總分。
這提供了靈活性，可以考慮漏洞的各個方面，同時根據應用程式安全性判斷漏洞所依據的標準來定義標準。

通過評分矩陣分類

為了確定漏洞的風險等級，請採用確定的影響和可能性，並使用下面的矩陣來確定最終等級。

風險等級

風險等級確定漏洞造成的風險級別，並影響何時修復錯誤。

等級定義如下：

• 嚴重-可能會立即暴露出高度敏感的業務資料或完全洩露風險的漏洞。

• 高-具有立即受到威脅或大規模違反業務資料風險的漏洞。

• 中-難以利用的漏洞，但仍會導致大量違反業務資料的漏洞；在業務資料的一小部分上易於利用的漏洞。

• 低-一種影響較小或只能在其他一系列漏洞中利用的漏洞。

影響

Impact對成功利用此漏洞時發生的影響進行了分類。
此等級應考慮到目標系統的機密性，完整性和可用性的損失。
在評級影響時，聲譽損害也會發揮作用。

影響等級分類如下：

• 高
  攻擊者可以讀取或修改所有系統資料，執行任意代碼或將特權提升到管理員級別。
  成功執行漏洞後，一次利用可能會影響大量用戶。
• 中
  攻擊者可以讀取或修改某些系統資料，拒絕系統可用性或暴露網絡的內部技術細節。
  利用可能會影響一次利用的一部分用戶。
• 低
  攻擊者可以讀取或修改少量系統資料，或對其他用戶的應用程式體驗產生負面影響。
  剝削可能僅限於影響單個非特權目標。

可能性

可能性將漏洞被利用的可能性分類。
該等級應考慮利用漏洞所需的訊息可用性，社交工程要求，授權要求，以及是否已由第三方將問題公開報告。

可能性等級分為以下幾類：

• 高
  攻擊者幾乎不需要身份驗證或授權就可以遠程利用此漏洞。
  進行攻擊所需的所有資料均可公開訪問，或已由外部第三方報告。
• 中
  攻擊者需要非公開訊息才能進行利用，或者需要進行社交工程以獲取訊息才能進行利用。
  攻擊可能需要特權訪問，或者正在執行盲目的攻擊而沒有反饋。
• 低
  攻擊者需要很難猜測內部訊息，或者需要大量的社交工程才能利用此漏洞。