DREAD模型是微软提出的威胁评级模型,由六个指标评定;

  • 潜在损失(Damage Potential) 如果缺陷被利用,损失有多大?
  • 重现性(Reproducibility) 重复产生攻击的难度有多大?
  • 可利用性(Exploitability) 发起攻击的难度有多大?
  • 受影响的用户(Affected users) 用粗略的百分数表示,有多少用户受到影响?
  • 可发现性(Discoverability) 缺陷容易发现吗?

计算方式:

一个漏洞具体的等级,可以按照上面的标准,计算给定威胁的值 (1–3)。结果范围为 5–15。这样就可以将总分 12–15 的威胁评价为高度危险,8–11 的威胁评价为中度危险,5–7 的威胁评价为低度危险。

《白帽子讲web安全》给出了如下例子:

  1. 网站登陆页面存在暴利破解:D(3)+ R(3) + E(3) + A(3) + D(3) = 15
  2. 密码找回存在逻辑漏洞:D(3)+ R(3) + E(3) + A(3) + D(2) = 14
  3. 密码可能被嗅探:D(3) + R(3) + E(3) + A(1) + D(3) = 13
  4. 服务端脚本漏洞(如SQL等): D(3) + R(3) + E(2) + A(3) + D(1) = 12
  5. 钓鱼网站:D(3) + R(1) + E(3) + A(2) + D(3) = 12
  6. XSS或其他客户端威胁:D(3) + R(2) + E(2) + A(2) + D(2) = 11
  7. 病毒或木马:D(3) + R(1) + E(2) + A(1) + D(1) = 8

根据计算结果,我们可以得出漏洞的具体等级。

参考:

安全内参:https://www.secrss.com/articles/3298

安全漏洞如何评级? - 安惞的回答 - 知乎
https://www.zhihu.com/question/53669275/answer/136328786

《白帽子讲Web安全》