Aidez-moi à comprendre les scores "basse intégrité" pour la falsification des paramètres dans les CVSS 3.1
Je suis curieux de savoir l'intégrité métrique dans CVSS 3.1 .
Bas est:
"La modification des données est possible, mais l'attaquant n'a pas de contrôle sur la conséquence d'une modification ou le montant de la modification est limité. La modification des données n'a pas d'impact direct et grave sur le composant impacté".
High est:
"Il existe une perte totale d'intégrité, ou une perte totale de protection. Par exemple, l'attaquant est en mesure de modifier tout/tous les fichiers protégés par le composant impacté. Seuls seulement certains fichiers peuvent être modifiés, mais une modification malveillante présenterait un conséquence directe et grave à la composante touchée. "
Avec cette description, j'ai supposé que l'intégrité de la falsification des paramètres est faible , car nous ne pouvons modifier que certaines données sur un paramètre donné. Mais de nombreux vendeurs de sécurité donnent High Intégrité de valeur sur la falsification des paramètres.
Aidez-moi à comprendre la falsification des paramètres donnée à une intégrité élevée. Ou, puis-je obtenir des exemples de vulnérabilités qui ont une faible intégrité?
C'est un score d'impact. Ce qui compte, c'est ce que l'attaquant peut faire en exploitant la vulnérabilité. Ce que "montant" n'a pas d'importance, l'attaquant peut changer le paramètre: vous devez examiner les conséquences possibles de ce changement.
Par exemple, si l'attaquant peut retourner le HasAdminPrivileges de 0 à 1, il s'agit d'une vulnérabilité d'intégrité à fort impact, même si ce n'est qu'un changement de 1 bits.
Modification de la valeur de prix à la caisse serait un autre exemple d'impact élevé. Si un client peut obtenir des produits gratuitement en définissant le prix à 0, c'est une perte importante de revenus pour l'entreprise, c'est donc un impact important.
À titre d'exemple d'une vulnérabilité à faible impact, supposons qu'un fournisseur offre aux clients un rabais sur leur anniversaire: 10% de réduction sur tous les achats pendant 24 heures. La remise d'anniversaire utilise l'adresse du client pour déterminer le fuseau horaire et le client peut modifier leur adresse à tout moment. Un client qui fait pivoter son fuseau horaire de l'est de Kiribati à Londres pour les territoires Pacific américains habités pourraient bénéficier de la réduction de 50 heures. Il s'agit d'une violation de l'intégrité du paramètre anniversaire, car elle finit par couvrir une période qui n'est pas ce qui était destiné. L'entreprise peut perdre le revenu prévu, mais l'impact est très mineur car ce n'est qu'une petite rabais appliquée légèrement plus longue que prévu. C'est probablement une vulnérabilité que l'entreprise ne voudrait pas résoudre puisque cette solution est susceptible d'avoir une incidence sur les clients qui bougeent et qui doivent changer leur adresse.