Sistema de puntuación de vulnerabilidades comunes
Clase 6 de 22 • Curso de Introducción al Pentesting
Resumen
El CVSS (Common Vulnerability Scoring System) define qué tan crítica es una vulnerabilidad.
Métricas de puntuación de vulnerabilidades
El siguiente cuadro muestra las métrica básicas y de impacto de una vulnerabilidad.
| Métrica de puntuación básica | Métricas de impacto – Tríada CIA |
|---|---|
| Vector de ataque (Attack Vector - AV) | Impacto en la confidencialidad (Confidentiality Impact - C) |
| Complejidad del ataque ( Attack Complexity - AC) | Impacto en la integridad (Integrity Impact - I) |
| Privilegios requeridos (Privileges Required - PR) | Impacto en la disponibilidad (Availability Impact - A) |
Interacción con el usuario (User Interaction - UI)
Si la vulnerabilidad afecta una aplicación web es un ataque remoto.
Si requiere dentro de un ataque de un equipo de la red utilizando protocolo SMB, es un ataque de red.
Qué significa la puntuación en vulnerabilidad
Como el CVSS en realidad es una fórmula. Es un sistema que tiene en cuenta diferentes aspectos para dar una valoración de 0 a 10 a esa vulnerabilidad.
- Mientras más cerca se encuentre del 10, más peligro representa para los usuarios.
- Cuando la puntuación es entre 0 y 3,9 se considera una vulnerabilidad de severidad baja.
- Cuando la cifra resultante se encuentra entre 4 y 6,9 estaríamos ante una de peligrosidad media.
- Mientras que de 7 a 10 son las más peligrosas.
Contribución creada con los aportes de: Angie Espinoza yGTBche