Bài viết này có hữu ích không?
Bộ lọc và tìm kiếm
Khách hàng có thể tìm kiếm lỗ hổng cụ thể bằng cách nhập từ khóa vào ô Tìm kiếm, hoặc lọc danh sách các lỗ hổng trong từng thẻ Trạng thái để thuận tiện hơn cho việc quản lý lỗ hổng:
- Theo Website.
- Theo Điểm CVSS (Common Vulnerability Scoring System - một framework mở để giao tiếp về đặc điểm và mức độ nguy hiểm của lỗ hổng).
- Theo mức độ nguy hiểm: Rất nghiêm trọng (critical), nguy hiểm (high), trung bình (medium), thấp (low) và chỉ mang tính Nguy cơ (info).
Mức độ nguy hiểm
CyStack Web Security cung cấp hệ thống đánh giá mức độ nguy hiểm của lỗ hổng dựa trên CVE, CWE và các tiêu chí khác để phân loại theo 5 mức độ:
| Mức độ nguy hiểm | Ảnh hưởng | Loại lỗ hổng |
|---|---|---|
| Rất nghiêm trọng - Critical | - Khai thác lỗ hổng có thể chiếm được quyền điều khiển của máy chủ hoặc thiết bị hạ tầng khác mà ứng dụng hoạt động trên đó. - Lỗ hổng cho phép leo thang đặc quyền, từ anonymous hoặc normal user lên administrator. - Lỗ hổng cho phép đánh cắp dữ liệu nhạy cảm như tài chính, thông tin cá nhân của người dùng, các loại mật khẩu, token, API key. - Việc tấn công là hoàn toàn trực tiếp, không cần sử dụng các hình thức lừa đảo, social engineering để thu thập thông tin từ con người. | Remote Code Execution, Authentication Bypass, XML External Entities Injection, SQL Injection, Database leaking |
| Nguy hiểm - High | - Việc khai thác lỗ hổng có thể dẫn đến leo thang đặc quyền, từ anonymous user lên normal user. - Lỗ hổng có thể dẫn đến mất mát dữ liệu hoặc gây gián đoạn truy cập. - Lỗ hổng gây thay đổi đến các tính năng được thiết kế trong sản phẩm | Stored XSS, CSRF tại những trang nhạy cảm, IDOR, SSRF |
| Trung bình - Medium | - Thông thường, kẻ tấn công phải sử dụng các hình thức lừa đảo, social engineering để thu thập thông tin từ con người để tiếp cận nạn nhân. - Việc khai thác yêu cầu kẻ tấn công phải hoạt động trên một vùng mạng nội bộ với mục tiêu. - Việc khai thác chỉ mang lại một lượng thông tin rất hạn chế. - Các lỗ hổng đòi hỏi quyền người dùng cao hơn để khai thác thành công | Reflective XSS, URL redirect, CSRF tại những trang ít nhạy cảm |
| Thấp - Low | - Các lỗ hổng không thể khai thác về mặt chức năng. - Lỗ hổng đó là theo thiết kế hoặc rủi ro nó gây ra được coi là chấp nhận được. | SSL misconfigurations, SPF misconfiguration, Self-XSS |
| Nguy cơ - Information | - Cuộc tấn công có tác động rất thấp đến hoạt động và dữ liệu của mục tiêu. - Việc khai thác thường đòi hỏi truy cập ở mức vật lý hoặc local. | Debug information, Sử dụng CAPTCHAs, Code obfuscation, Rate limiting. |
Điểm CVSS
CyStack Web Security cũng cung cấp thông tin về mức độ rủi ro của lỗ hổng theo CVSS v2, bao gồm Điểm CVSS v2 và CVSS v2 Vector, có thể xem trong Chi tiết lỗ hổng.
Cần thêm sự trợ giúp?