风险 = 可能性 ╳ 影响
类别 | 因素 | 分项 | 分值 |
威胁 | 技术要求 | 无需技能 | 1 |
需要一些技术 | 3 | ||
高级的计算机用户 | 4 | ||
需要网络和编程技术 | 6 | ||
需要安全渗透技术 | 9 | ||
成功攻击后攻击者的益处 | 很低或无益 | 1 | |
可能会有回报 | 4 | ||
高回报 | 9 | ||
所需资源或机会 | 需要很大资源或高权限访问 | 0 | |
需要特定的访问权限和特定的资源 | 4 | ||
需要一些访问权限和资源 | 7 | ||
无需权限或资源 | 9 | ||
所需的攻击者的角色 | 开发者 | 2 | |
系统管理员 | 2 | ||
内部用户 | 4 | ||
合作伙伴 | 5 | ||
认证用户 | 6 | ||
匿名Internet用户 | 9 | ||
脆弱性 | 发现该弱点的难易度 | 技术上不可行 | 1 |
困难 | 3 | ||
容易 | 7 | ||
可用自动化工具发现 | 9 | ||
利用该弱点的难易度 | 只是理论上的 | 1 | |
困难 | 3 | ||
容易 | 5 | ||
可用自动化工具实现 | 9 | ||
该弱点的流行度 | 不为人知 | 1 | |
隐藏 | 4 | ||
明显 | 6 | ||
公众皆知 | 9 | ||
入侵被察觉的可能性 | 应用程序主动检测 | 1 | |
记录日志并审核 | 3 | ||
记录日志未审核 | 8 | ||
无日志 | 9 |
类别 | 因素 | 分项 | 分值 |
技术
后果 |
保密性损失 | 极少的非敏感数据被泄露 | 2 |
极少的关键数据被泄露 | 6 | ||
大量的非敏感数据被泄露 | 6 | ||
大量的敏感数据被泄露 | 9 | ||
完整性损失 | 极少的轻微数据破坏 | 1 | |
极少的严重数据破坏 | 3 | ||
大量的轻微数据破坏 | 5 | ||
大量的严重数据破坏 | 7 | ||
所有数据被破坏 | 9 | ||
可用性损失 | 极少的次要服务中断 | 1 | |
极少的主要服务中断 | 5 | ||
大量的次要服务中断 | 5 | ||
大量的主要服务中断 | 7 | ||
所有服务中断 | 9 | ||
不可抵赖性损失 | 可完全追踪到攻击者 | 1 | |
可能追踪到攻击者 | 7 | ||
不可能追踪到攻击者 | 9 | ||
商业
后果 |
经济损失 | 少于修复漏洞费用 | 1 |
对年度利润影响较小 | 3 | ||
对年度利润影响很大 | 7 | ||
破产 | 9 | ||
声誉损失 | 极少的损害 | 1 | |
损失主要客户 | 4 | ||
损失信誉 | 5 | ||
品牌受损 | 9 | ||
触犯法律法规 | 轻度触犯法律法规 | 2 | |
严重触犯法律法规 | 5 | ||
非常严重触犯法律法规 | 7 | ||
隐私侵犯 | 侵犯某一个人的隐私 | 3 | |
侵犯上百人的隐私 | 5 | ||
侵犯上千人的隐私 | 7 | ||
侵犯上百万人的隐私 | 9 |
OWASP风险评级方法
Contents
Copyright © hongdaChiaki. All Rights Reserved. 鸿大千秋 版权所有
联系方式:
地址: 深圳市南山区招商街道沿山社区沿山路43号创业壹号大楼A栋107室
邮箱:service@hongdaqianqiu.com
备案号:粤ICP备15078875号