marker/sf
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity
Files
bad
sf/02-pentest/02-vuln/01-cvss/1.1.md
Marat Kharitonov 40899bcd4b refactored. 01-02-03 done
2024-03-26 19:36:57 -04:00

44 lines
4.5 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Модуль 1. Введение в уязвимости
## Практическое задание №1
### Задание 1.1
Описание уязвимости:
```
В корпоративной сети крупной финансовой организации была обнаружена уязвимость в системе управления конфигурациями серверов. Система управления конфигурациями используется для автоматизации развертывания и поддержания состояния серверов, включая веб-серверы, базы данных и приложения. Уязвимость позволяет злоумышленнику, имеющему доступ к сети, удаленно модифицировать конфигурационные файлы серверов без аутентификации. Это может привести к изменению поведения серверов, внедрению вредоносного кода или даже полному отказу в обслуживании.
Серверы доступны из интернета через брандмауэр и прокси-сервер, но уязвимость в системе управления конфигурациями может быть эксплуатирована только через внутреннюю сеть. Базы данных содержат конфиденциальную информацию клиентов и финансовые данные.
```
Действовать, проводя оценку, будем из того, что с помощью данной уязвимости можно воздействовать и на саму уязвимую систему.
Для данной уязимости я предлагаю установить следующие метрики
| Metric | Value | Comment |
| ----- | ----- | ----- |
| | **Exploitability Metrics** | |
| Attack Vector (AV) | Adjacent (A) | Уязвимость в системе управления конфигурациями может быть эксплуатирована только через внутреннюю сеть |
| Attack Complexity (AC) | Low (L) | Информации о сложности нет, поэтому предполагаем -- низкую сложность |
| Attack Requirements (AT) | Present (P) | Для проведения атаки необходимо знать архитектуру внутернней сети (какие устройства, за что отвечают) |
| Privileges Required (PR) | None (N) | Аутентификация не требуется |
| User Interaction (UI) | None (N) | Взаимодействие с пользователями не требуется |
| | **Vulnerable System Impact Metrics** | |
| Confidentiality (VC) | High (H) | В случае, если система управления конфигурациями может управлять в том числе собой, то согласно тому, что может быть внедрен вредоносный код -- нарушение конфиденциальности является высоким |
| Integrity (VI) | High (H) | Аналогично VC, целостность может быть нарушена |
| Availability (VA) | High (H) | Возможен полный отказ в обслуживании |
| | **Subsequent System Impact Metrics** | |
| Confidentiality (SC) | High (H) | согласно тому, что может быть внедрен вредоносный код -- нарушение конфиденциальности является высоким |
| Integrity (SI) | High (H) | Аналогично VC, целостность может быть нарушена |
| Availability (SA) | High (H) | Возможен полный отказ в обслуживании |
### Итог задания 1.1
Вектор CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Метрика CVSS v4.0 Score: 9.0 / Critical
# Итог практического задания
На этом практическое задание окончено, файл отчет в формате pdf во вложении.
Выполнил: Харитонов Марат Русланович, студенческий билет №М235314.
Reference in New Issue View Git Blame Copy Permalink