以一个B站必剪应用Bug过一下CVSS 4.0评分

Bug的内容就是Mac上的必剪无法完成B站视频上传新手任务。

这个从B站客服那里确认了。

没多大事儿,这是个设备相关的bug,我们也可以认为这样的小bug对用户是无害的,此时评分为0,无影响,但从学习角度出发我们将部分评分提高到L,也就是假设这是个CVE的话,聊一下安全问题。

带大家过一下CVSS4.0打分体系中关于供应链设备的部分。

项目 评分 解释
可利用性指标
攻击方式 N(网络) 上传一个视频,内容过审即可
攻击复杂性 L(低) 不需要专业知识
攻击要求 N(无) 不需要攻击者攻击特定部署和执行条件
所需权限 L(低) 一般用户即可
用户交互 A(活动) 需要用户上传视频
影响指标
保密性 N 不存在保密性损失
后续保密性 N 不存在后续系统级别影响
完整性 N 没有完整性损失
后续完整性 N 没有后续完整性损失
可用性 L(低) 没有直接严重后果,但是功能失效,我们也可以认为这样的小bug对用户是无害的,此时评分为0,无影响,但从学习角度出发我们将这部分提高到L
后续可用性 L(低) 没有直接严重后果,但是功能失效,我们也可以认为这样的小bug对用户是无害的,此时评分为0,无影响,但从学习角度出发我们将这部分提高到L
威胁指标
在本文中披露了这个bug作为bug披露 A 本文是已知问题
环境相关指标(这个给B站自己填去,我们不知道服务器运作方式)
设备类型指标
安全 N 在IEC 61508范围内没有安全影响
自动化 X 不清楚其API安全组成
供应商紧急程度 最低 给出的反馈方式为信息性
回收率 X
值密度 X
脆弱性相应工作 L 其实在网页上加个公告,或者写个job数据库刷一下都行,但实际上并不做。

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:L/SC:N/SI:N/SA:L/E:A/S:N/RE:L/U:Clear

评分 4.8

重申,我们也可以认为这样的小bug对用户是无害的,此时

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:N/SI:N/SA:N/E:A/S:N/RE:L/U:Clear

评分 0

欢迎大家就这个例子讨论对于CVSS 4.0的理解和认识。

相关推荐
蜜獾云1 小时前
linux firewalld 命令详解
linux·运维·服务器·网络·windows·网络安全·firewalld
H轨迹H8 小时前
#渗透测试 kioptix level 2靶机通关教程及提权
网络安全·渗透测试·oscp
AirDroid_qs10 小时前
Niushop开源商城(漏洞复现)
android·网络安全·开源
星竹12 小时前
upload-labs-master第21关超详细教程
网络安全
蜜獾云12 小时前
docker 安装雷池WAF防火墙 守护Web服务器
linux·运维·服务器·网络·网络安全·docker·容器
Clockwiseee1 天前
php伪协议
windows·安全·web安全·网络安全
Lspecialnx_1 天前
文件解析漏洞中间件(iis和Apache)
网络安全·中间件
学习溢出1 天前
【网络安全】逆向工程 练习示例
网络·安全·网络安全·渗透测试·逆向工程