Bộ lọc và tìm kiếm

Filter and Search

Khách hàng có thể tìm kiếm lỗ hổng cụ thể bằng cách nhập từ khóa vào ô Tìm kiếm, hoặc lọc danh sách các lỗ hổng trong từng thẻ Trạng thái để thuận tiện hơn cho việc quản lý lỗ hổng:

  • Theo Website.
  • Theo Điểm CVSS (Common Vulnerability Scoring System - một framework mở để giao tiếp về đặc điểm và mức độ nguy hiểm của lỗ hổng).
  • Theo mức độ nguy hiểm: Rất nghiêm trọng (critical), nguy hiểm (high), trung bình (medium), thấp (low) và chỉ mang tính Nguy cơ (info).

Mức độ nguy hiểm

CyStack Web Security cung cấp hệ thống đánh giá mức độ nguy hiểm của lỗ hổng dựa trên CVE, CWE và các tiêu chí khác để phân loại theo 5 mức độ:

Mức độ nguy hiểmẢnh hưởngLoại lỗ hổng
Rất nghiêm trọng - Critical- Khai thác lỗ hổng có thể chiếm được quyền điều khiển của máy chủ hoặc thiết bị hạ tầng khác mà ứng dụng hoạt động trên đó.
- Lỗ hổng cho phép leo thang đặc quyền, từ anonymous hoặc normal user lên administrator.
- Lỗ hổng cho phép đánh cắp dữ liệu nhạy cảm như tài chính, thông tin cá nhân của người dùng, các loại mật khẩu, token, API key.
- Việc tấn công là hoàn toàn trực tiếp, không cần sử dụng các hình thức lừa đảo, social engineering để thu thập thông tin từ con người.
Remote Code Execution, Authentication Bypass, XML External Entities Injection, SQL Injection, Database leaking
Nguy hiểm - High- Việc khai thác lỗ hổng có thể dẫn đến leo thang đặc quyền, từ anonymous user lên normal user.
- Lỗ hổng có thể dẫn đến mất mát dữ liệu hoặc gây gián đoạn truy cập.
- Lỗ hổng gây thay đổi đến các tính năng được thiết kế trong sản phẩm
Stored XSS, CSRF tại những trang nhạy cảm, IDOR, SSRF
Trung bình - Medium- Thông thường, kẻ tấn công phải sử dụng các hình thức lừa đảo, social engineering để thu thập thông tin từ con người để tiếp cận nạn nhân.
- Việc khai thác yêu cầu kẻ tấn công phải hoạt động trên một vùng mạng nội bộ với mục tiêu.
- Việc khai thác chỉ mang lại một lượng thông tin rất hạn chế.
- Các lỗ hổng đòi hỏi quyền người dùng cao hơn để khai thác thành công
Reflective XSS, URL redirect, CSRF tại những trang ít nhạy cảm
Thấp - Low- Các lỗ hổng không thể khai thác về mặt chức năng.
- Lỗ hổng đó là theo thiết kế hoặc rủi ro nó gây ra được coi là chấp nhận được.
SSL misconfigurations, SPF misconfiguration, Self-XSS
Nguy cơ - Information- Cuộc tấn công có tác động rất thấp đến hoạt động và dữ liệu của mục tiêu.
- Việc khai thác thường đòi hỏi truy cập ở mức vật lý hoặc local.
Debug information, Sử dụng CAPTCHAs, Code obfuscation, Rate limiting.

Điểm CVSS

CVSS

CyStack Web Security cũng cung cấp thông tin về mức độ rủi ro của lỗ hổng theo CVSS v2, bao gồm Điểm CVSS v2 và CVSS v2 Vector, có thể xem trong Chi tiết lỗ hổng.

Bài viết này có hữu ích không?
Cần thêm sự trợ giúp?