Các thuộc tính của báo cáo

​

Các thuộc tính của báo cáo

​

Mức độ nguy hiểm của lỗ hổng

1. Critical
   • Khai thác lỗ hổng có thể chiếm được quyền điều khiển của máy chủ hoặc thiết bị hạ tầng khác mà ứng dụng hoạt động trên đó.
   • Việc tấn công là hoàn toàn trực tiếp, không cần sử dụng các hình thức lừa đảo, social engineering để thu thập thông tin từ con người.
2. High
   • Việc khai thác lỗ hổng có thể dẫn đến leo thang đặc quyền.
   • Việc khai thác lỗ hổng có thể dẫn đến mất dữ liệu hoặc gây gián đoạn truy cập dịch vụ.
3. Medium
   • Thông thường, kẻ tấn công phải sử dụng các hình thức lừa đảo, social engineering để thu thập thông tin từ con người để tiếp cận nạn nhân.
   • Việc khai thác yêu cầu kẻ tấn công phải hoạt động trên một vùng mạng nội bộ với mục tiêu.
   • Việc khai thác chỉ mang lại một lượng thông tin rất hạn chế.
   • Các lỗ hổng đòi hỏi quyền người dùng cao hơn để khai thác thành công.
4. Low
   • Cuộc tấn công có tác động rất thấp đến hoạt động và dữ liệu của mục tiêu.
   • Việc khai thác thường đòi hỏi truy cập ở mức vật lý hoặc local.

​

Các trạng thái của báo cáo

1. Open
   • New: Báo cáo vừa được gửi và chưa được quản trị xem.
   • Triaged: Báo cáo đang trong quá trình điều tra.
2. Accepted
   • Unresolved: Báo cáo hợp lệ nhưng lỗ hổng chưa được vá.
   • Resolved: Báo cáo hợp lệ và lỗ hổng đã được vá.
   • Duplicate: Báo cáo hợp lệ nhưng bị trùng với một báo cáo khác.
3. Rejected
   • Out of Scope: Báo cáo không thuộc phạm vi của chương trình.
   • Not Reproducible: Quản trị không thể tái tạo được lỗi theo mô tả của researcher
   • Not Reproducible: Quản trị không thể tái tạo được lỗi theo mô tả của researcher.
   • Won’t Fix: Vấn đề được nêu trong báo cáo có mức độ ảnh hưởng rất thấp nên sẽ không cần khắc phục.
   • Not Applicable: Vấn đề được nêu trong báo cáo không phải là một vấn đề an ninh.
   • Spam: Báo cáo mang tính chất spam, bị liệt vào trạng thái này thì nhà nghiên cứu sẽ bị trừ điểm tín nhiêm.

​

Tính công khai của báo cáo