上周DREAD计算漏洞等级的Q&A

上期文章链接： https://www.anquanke.com/post/id/161442

上周二，发出了文章后，收到了不少小伙伴的反馈，很多问题点上进行了进一步的探讨，还有拿具体漏洞来一起进一步解读DREAD模型的应用的。

根据一周的收集，挑选了一些意见建议，并且反馈如下。被点到名的小伙伴，本周将陆续收到小礼物一份哦~感谢~

问题一

Q:

“复现难度”是不是和“利用难度”表达的有些概念重合，都涉及到 工具 如web浏览器，是不是可以合并或删除一个？

——by 英雄马 & M & 小情痴

A:

首先得讲讲，“复现难度”和“利用难度”分别代表的概念是什么。这2个维度虽然都涉及到工具，但是概念还是不一致的。后来想想，可以以“照着菜谱”做菜“吃”的打个比方，来说明下这两个概念。

加入我们分析一个漏洞被发现后利用，比作照着菜谱做菜吃，漏洞详情相当于菜谱，复现漏洞相当于做菜（复现难度相当于做菜难度），利用漏洞相当于把菜给吃了（利用难度相当于吃菜难度）。

那么以下几道菜（饭）的复现和利用难度相当于：

1.蒸白米饭

复现难度（低）：照着菜谱蒸米饭容易，有米有水有电饭锅，下水下米蒸就行

利用难度（低）：吃米饭容易，把米盛到碗里用筷子就能吃

2.清蒸大闸蟹

复现难度（低）：照着菜谱蒸大闸蟹容易，大闸蟹放锅里蒸就行

利用难度（高）：吃大闸蟹不容易，需要钳子，或者用牙使劲儿咬开，要开了还得用手使劲儿扣大腿里面的肉

（找图找的我都饿了，螃蟹真乃人间美味啊~上周末sixwhale小姐姐又又又又入职成功，请吃大闸蟹，回味无穷~）

3.炒鱼香肉丝

复现难度（高）：照着菜谱炒鱼香肉丝很难，不仅要准备多种食材调料，做的时候比例火候掌握不好做的也不好吃。

利用难度（低）：吃鱼香肉丝有碗和筷子就行，也不需要费劲儿吃

_________________我是一条正经线_________________

那么，擦擦口水

从饭菜中返回头来说，复现难度和利用难度是不是就相当于有一个初步的理解了呢？

那么，在漏洞中，复现难度和利用难度，可以考虑如下解释：

1.复现难度：

具体程度的区别可以理解为：

1）举个极端的例子，想要复现网盘公开信息泄露的漏洞，把地址输入web浏览器就可以了，任何人都可以，包括不懂安全的人；

2）再深入一点，需要登录一个web或者app注册一下，或者需要达到某种权限，才能有机会使用这个功能然后触发这个漏洞，复现更难一些；

3）再再深入一点，想拿到用户名密码，需要在5分钟内才有可能复现这个漏洞/证明这个漏洞存在，超出就无效了；或者需要满足时间和没有验证码才能复现，这2个条件缺一不可；

4）再再再深入一点，想要复现某个漏洞，复现成功的概率非常低，可能得超过3个以上的强制条件才能复现这个漏洞，写了poc都不见得能复现，说不定得录个像才有可能复现。

2.利用难度：

具体程度的区别可以理解为：

1）举个极端的例子，百度网盘敏感信息公开分享，只要有百度网盘的url，在浏览器打开，就可以直接下载信息到本地；

2）再深入一层，用浏览器，发个钓鱼贴，等待钓鱼上钩，收集token，这一系列下来，好像比前一个难一点儿？

3）再再深入一层，如果只有利用工具，例如burp不断的爆破，才能拿到用户名密码，好像又难一点儿？

4）再再再深入一层，如果用burp不行，还得用pythyon写个脚本，才能拿到token，似乎更难一点？

5）再再再再深入一层，这个是你自己发现的0day，如果用一般人写脚本也不行，是不是就更更难了？

所以，这两个其实具体指的不是同一个概念，以上是我和小伙伴们沟通后的一些理解，欢迎继续沟通讨论。

感谢@Leej杰哥提供的做菜方式解释复现难度和利用难度的方式。

(p.s.你说自己不是吃货，谁信呢？！)

问题二

Q:

各项指标即使让打分也是一个感觉分，比较主观，难以保证科学性和公平公正

——by lion

A:

首先，以“利用难度”为例，一开始找到基础概念定义，初学者->中级->熟练等概念的时候，确实容易非常主观，后续后面其实添加了一些具体使用工具的场景，如

初学者：仅需Web浏览器；

中级：已存在可用工具或可被轻易利用；

熟练：需自定制脚本或高级攻击工具；

添加了后面这些定语和具体场景，就是为了更加方便的来判断属于哪一种场景。当然具体的场景还是需要不断的优化，以适应更多和更实际的漏洞情况。

其次，@lion提出的一个方法，可以多人评论取平均值。这是一个很好的建议。

最后，具体到操作层面，我们的评级方式是：

1）第一层是白帽子选择好各个因素后系统根据选项自动计算漏洞风险等级，当然这个计算完了白帽子还是可以自己手动改；

2）第二层是安全技术评级，结合漏洞复现情况，以及与业务沟通漏洞实际原理原因，给出技术和结合业务的评级，这个时候的评级，为了避免干扰安全技术的客观评价，是不显示白帽子的自评的；

3）第三层是安全运营评级，可以看到白帽子、安全技术双方的评级，需要对漏洞的评级标准理解非常深入，还需要能够和白帽子、安全技术甚至业务方进行良好的沟通，能够综合各个因素，掌握全局，并给出综合评级；

4）第四层是安全运营与白帽子再次沟通评级。尤其是可能涉及到高危严重的漏洞，跨级的分数等，这必不可少。

如果有争议，继续循环往复，但是往往大部分的漏洞通过前三层就已经都解决掉了。安全运营需要提前预判可能产生争议的地方，并通过运营的各项基本技能协调解决，后面也会再出文章讲讲怎么处理漏洞争议。

这么几个方式下来，不断的根据实际情况再优化选项内容，逐渐降低成本，提升效率，减少争议。

一开始的时候乍一看可能以为步骤有些多，但是捍卫漏洞评级的公平公正，保证白帽子的合理权益，值得。

问题三

Q:

对于移动客户端的漏洞，无论是本地攻击还是远程，因为需要交互，即使漏洞本身危害再严重，最后定级也是高危

——by Kevin.☻.

A:

“需要交互”这个点，对应的实际上是“利用难度”。

利用难度上，可以观察，在具体利用的时候，能不能给出具体的利用方法呢？

（注：给出利用方法，并不等于直接去进行利用这个操作哦~真的操作了可能就存在法律风险了呢，各位安全爱好者要注意保护自己，能够点到为止即可）

如果在利用方法上，只需要Web浏览器或者已存在可利用的攻击，使用高成功率的钓鱼，用户简单的交互即可利用成功，那么是不是符合“中级”？

如果需要自定义脚本或使用高级利用工具，是不是符合“熟练”？

依次类推，可以找到一个合适的利用难度。

如果真的只需要Web浏览器，简单的钓鱼就可以高成功率实现，实际上这一项的得分也是3，在其他4个维度都比较高的情况下，也是会到严重的。

因此，是不是因为移动客户端漏洞，很多情况下“需要交互”就不可能到“严重”级别呢？答案当然是否定的，还要具体看实际的利用难度等多个维度综合评分，也是有可能的。

问题四

Q:

危害性可以有很多个维度，例如公关、法律、用户体验等等，是不是可以权重重一些，而不是平均化

——by @wAnyBug

A:

危害性这里，具体只写了信息泄露、资金损失、服务被入侵等情况，至于公关、法律、用户体验等，可以作为危害性的某个自维度，也可以和最终的“安全风险等级”提炼出来，认为，风险等级，可能包括安全技术风险、公关风险、法律风险等等。这个就可以根据自己公司的实际情况进行调整。

由于SRC收到的漏洞，实际上可以理解为，已经被外界知晓，所以默认都是存在公关、法律等风险的，所以具体评分的时候建议在DREAD模型外，用这些安全技术风险意外的风险元素作为最终等级的调整。

问题五

Q:

如果出于白帽子第一用户的角度，发现难度的奖励，是不是应该适当增加一些？

——by @wAnyBug

A:

发现难度这里，首先先看下发现难度的定义：

这里没有区分角色，但是从描述中可以看到有区分内外网，漏洞信息是否公开披露，通常认为，都是以“外部黑盒”角度来定义。

1）如果区分白帽子和安全渗透测试团队，同样一个漏洞，如果是内部安全渗透测试，通过获取一些资料，如代码、产品文档、接口文档等来发现漏洞，那么同样的一个漏洞，发现难度这里渗透测试团队发现虽然实际上比白帽子发现的容易，但是实际得分上来看，内部安全渗透测试得分是2（因为是通过内部资料发现的），而白帽子可能是3或者4（没有拿到这些资料，但是确实是外部获得）。

2）但是如果内部渗透测试和白帽子，都是以外部黑盒角度，而没有拿到更多内部材料的情况下，同样一个漏洞，内部渗透测试和白帽子的漏洞的发现难度是一致的。

所以，关键还是从黑盒角度看，发现成本的高低，如果在没有额外因素的情况下，安全渗透工程师和白帽子发现难度是一致，那么得分一致；如果存在额外因素导致安全渗透测试工程师更容易，那么白帽子的分就相对要高一些。

问题六

Q:

“受影响用户”这个维度里的数量，是不是也可以参考等保要求来定多少的标准？

——by @wAnyBug

A:

受影响用户的多少，网安法敏感信息泄露50条就可判刑也好，等保也好，或者按照资损比例，或者按照某一类区间，或者有其他的因素，都可以作为参考依据，以自己公司的实际情况来看，只要标准明确，合理即可。

问题七

Q:DREAD的计算公式里，除以2后有小数，小数是应该舍去还是进位？例如漏洞计算器算出来是2.5，最终是给低危-2，还是中危-3？

——by 仓鼠

DREAD公式：等级[忽略(0),严重(10)]=(危害性[0,4]+复现难度[0,4]+利用难度[0,4]+受影响用户[0,4]+发现难度[0,4])/2

A:

如果是以风险最大化来讲，进位（小数点后四舍五入）合适；如果以有argue空间来讲，舍位（取整数）合适。

具体以各公司实际情况来定，标准一致即可。

问题八

Q:具体使用漏洞计算器算等级时，涉及到资金的，没发现在核心业务里，是不是可以加到里面？

——by Kevin.☻.

A:

当然！

写着写着，感觉好像又欠了一篇漏洞争议处理，上期承诺的去重还没写，那就等等吧~这大半夜的，越写越饿~谁来请我吃大闸蟹啊~