marker/sf
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

refactored. 01-02-03 done

Browse Source
This commit is contained in:
Marat Kharitonov
2024-03-26 19:36:57 -04:00
parent 37b5fd1f40
commit 40899bcd4b
152 changed files with 647 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

44
02-pentest/02-vuln/01-cvss/1.1.md Normal file
View File

@@ -0,0 +1,44 @@
# Модуль 1. Введение в уязвимости
## Практическое задание №1
### Задание 1.1
Описание уязвимости:
```
В корпоративной сети крупной финансовой организации была обнаружена уязвимость в системе управления конфигурациями серверов. Система управления конфигурациями используется для автоматизации развертывания и поддержания состояния серверов, включая веб-серверы, базы данных и приложения. Уязвимость позволяет злоумышленнику, имеющему доступ к сети, удаленно модифицировать конфигурационные файлы серверов без аутентификации. Это может привести к изменению поведения серверов, внедрению вредоносного кода или даже полному отказу в обслуживании.
Серверы доступны из интернета через брандмауэр и прокси-сервер, но уязвимость в системе управления конфигурациями может быть эксплуатирована только через внутреннюю сеть. Базы данных содержат конфиденциальную информацию клиентов и финансовые данные.
```
Действовать, проводя оценку, будем из того, что с помощью данной уязвимости можно воздействовать и на саму уязвимую систему.
Для данной уязимости я предлагаю установить следующие метрики
| Metric | Value | Comment |
| ----- | ----- | ----- |
| | **Exploitability Metrics** | |
| Attack Vector (AV) | Adjacent (A) | Уязвимость в системе управления конфигурациями может быть эксплуатирована только через внутреннюю сеть |
| Attack Complexity (AC) | Low (L) | Информации о сложности нет, поэтому предполагаем -- низкую сложность |
| Attack Requirements (AT) | Present (P) | Для проведения атаки необходимо знать архитектуру внутернней сети (какие устройства, за что отвечают) |
| Privileges Required (PR) | None (N) | Аутентификация не требуется |
| User Interaction (UI) | None (N) | Взаимодействие с пользователями не требуется |
| | **Vulnerable System Impact Metrics** | |
| Confidentiality (VC) | High (H) | В случае, если система управления конфигурациями может управлять в том числе собой, то согласно тому, что может быть внедрен вредоносный код -- нарушение конфиденциальности является высоким |
| Integrity (VI) | High (H) | Аналогично VC, целостность может быть нарушена |
| Availability (VA) | High (H) | Возможен полный отказ в обслуживании |
| | **Subsequent System Impact Metrics** | |
| Confidentiality (SC) | High (H) | согласно тому, что может быть внедрен вредоносный код -- нарушение конфиденциальности является высоким |
| Integrity (SI) | High (H) | Аналогично VC, целостность может быть нарушена |
| Availability (SA) | High (H) | Возможен полный отказ в обслуживании |
### Итог задания 1.1
Вектор CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Метрика CVSS v4.0 Score: 9.0 / Critical
# Итог практического задания
На этом практическое задание окончено, файл отчет в формате pdf во вложении.
Выполнил: Харитонов Марат Русланович, студенческий билет №М235314.