邮箱:service@hongdaqianqiu.com
风险 = 可能性 ╳ 影响
| 类别 | 因素 | 分项 | 分值 |
| 威胁 | 技术要求 | 无需技能 | 1 |
| 需要一些技术 | 3 | ||
| 高级的计算机用户 | 4 | ||
| 需要网络和编程技术 | 6 | ||
| 需要安全渗透技术 | 9 | ||
| 成功攻击后攻击者的益处 | 很低或无益 | 1 | |
| 可能会有回报 | 4 | ||
| 高回报 | 9 | ||
| 所需资源或机会 | 需要很大资源或高权限访问 | 0 | |
| 需要特定的访问权限和特定的资源 | 4 | ||
| 需要一些访问权限和资源 | 7 | ||
| 无需权限或资源 | 9 | ||
| 所需的攻击者的角色 | 开发者 | 2 | |
| 系统管理员 | 2 | ||
| 内部用户 | 4 | ||
| 合作伙伴 | 5 | ||
| 认证用户 | 6 | ||
| 匿名Internet用户 | 9 | ||
| 脆弱性 | 发现该弱点的难易度 | 技术上不可行 | 1 |
| 困难 | 3 | ||
| 容易 | 7 | ||
| 可用自动化工具发现 | 9 | ||
| 利用该弱点的难易度 | 只是理论上的 | 1 | |
| 困难 | 3 | ||
| 容易 | 5 | ||
| 可用自动化工具实现 | 9 | ||
| 该弱点的流行度 | 不为人知 | 1 | |
| 隐藏 | 4 | ||
| 明显 | 6 | ||
| 公众皆知 | 9 | ||
| 入侵被察觉的可能性 | 应用程序主动检测 | 1 | |
| 记录日志并审核 | 3 | ||
| 记录日志未审核 | 8 | ||
| 无日志 | 9 |
| 类别 | 因素 | 分项 | 分值 |
| 技术
后果 |
保密性损失 | 极少的非敏感数据被泄露 | 2 |
| 极少的关键数据被泄露 | 6 | ||
| 大量的非敏感数据被泄露 | 6 | ||
| 大量的敏感数据被泄露 | 9 | ||
| 完整性损失 | 极少的轻微数据破坏 | 1 | |
| 极少的严重数据破坏 | 3 | ||
| 大量的轻微数据破坏 | 5 | ||
| 大量的严重数据破坏 | 7 | ||
| 所有数据被破坏 | 9 | ||
| 可用性损失 | 极少的次要服务中断 | 1 | |
| 极少的主要服务中断 | 5 | ||
| 大量的次要服务中断 | 5 | ||
| 大量的主要服务中断 | 7 | ||
| 所有服务中断 | 9 | ||
| 不可抵赖性损失 | 可完全追踪到攻击者 | 1 | |
| 可能追踪到攻击者 | 7 | ||
| 不可能追踪到攻击者 | 9 | ||
| 商业
后果 |
经济损失 | 少于修复漏洞费用 | 1 |
| 对年度利润影响较小 | 3 | ||
| 对年度利润影响很大 | 7 | ||
| 破产 | 9 | ||
| 声誉损失 | 极少的损害 | 1 | |
| 损失主要客户 | 4 | ||
| 损失信誉 | 5 | ||
| 品牌受损 | 9 | ||
| 触犯法律法规 | 轻度触犯法律法规 | 2 | |
| 严重触犯法律法规 | 5 | ||
| 非常严重触犯法律法规 | 7 | ||
| 隐私侵犯 | 侵犯某一个人的隐私 | 3 | |
| 侵犯上百人的隐私 | 5 | ||
| 侵犯上千人的隐私 | 7 | ||
| 侵犯上百万人的隐私 | 9 |
OWASP风险评级方法
Contents
Copyright © hongdaChiaki. All Rights Reserved. 鸿大千秋 版权所有
联系方式:
地址: 深圳市南山区招商街道沿山社区沿山路43号创业壹号大楼A栋107室
邮箱:service@hongdaqianqiu.com
备案号:粤ICP备15078875号
