Q
網站安全報告的風險等級怎么定才讓人信服不扯皮?
A
等級不是拍腦袋,是看三樣東西:有沒有公開EXP、業(yè)務系統(tǒng)是否直連互聯(lián)網、當前有沒有繞過防護的實操路徑。別光抄CVSS分數,客戶看不懂。寫清楚這個漏洞點在你們系統(tǒng)里到底卡在哪一層,防火墻攔不住還是WAF規(guī)則漏了,或者壓根沒上防護。等級寫高了要擔責,寫低了出事背鍋,中間那條線得踩準。
高分寫作經驗
熱門篇幅區(qū)間
推薦寫法
數據顯示,有40.5%的用戶認為,首選的寫法是先查該漏洞真實利用門檻再定級,50.7%%的用戶傾向選擇3000-5000字,而25.1%%的用戶選擇1500-3000字,15.4%%選擇5000-8000字。新手最容易踩的坑是直接照搬漏洞庫默認風險分值,不結合客戶實際防護水位和暴露面做校準
適用對象
安全工程師、滲透測試員、甲方IT負責人、等保測評師、售前顧問
新手常犯的誤區(qū)
直接照搬漏洞庫默認風險分值,不結合客戶實際防護水位和暴露面做校準
