DREAD模型是微软提出的威胁评级模型,由六个指标评定;
- 潜在损失(Damage Potential) 如果缺陷被利用,损失有多大?
- 重现性(Reproducibility) 重复产生攻击的难度有多大?
- 可利用性(Exploitability) 发起攻击的难度有多大?
- 受影响的用户(Affected users) 用粗略的百分数表示,有多少用户受到影响?
- 可发现性(Discoverability) 缺陷容易发现吗?
计算方式:
一个漏洞具体的等级,可以按照上面的标准,计算给定威胁的值 (1–3)。结果范围为 5–15。这样就可以将总分 12–15 的威胁评价为高度危险,8–11 的威胁评价为中度危险,5–7 的威胁评价为低度危险。
《白帽子讲web安全》给出了如下例子:
- 网站登陆页面存在暴利破解:D(3)+ R(3) + E(3) + A(3) + D(3) = 15
- 密码找回存在逻辑漏洞:D(3)+ R(3) + E(3) + A(3) + D(2) = 14
- 密码可能被嗅探:D(3) + R(3) + E(3) + A(1) + D(3) = 13
- 服务端脚本漏洞(如SQL等): D(3) + R(3) + E(2) + A(3) + D(1) = 12
- 钓鱼网站:D(3) + R(1) + E(3) + A(2) + D(3) = 12
- XSS或其他客户端威胁:D(3) + R(2) + E(2) + A(2) + D(2) = 11
- 病毒或木马:D(3) + R(1) + E(2) + A(1) + D(1) = 8
根据计算结果,我们可以得出漏洞的具体等级。
参考:
安全内参:https://www.secrss.com/articles/3298
安全漏洞如何评级? - 安惞的回答 - 知乎
https://www.zhihu.com/question/53669275/answer/136328786
《白帽子讲Web安全》