Contents

DREAD 风险评估

Contents

微软的 DREAD 模型.

高危: 12-15分, 中危: 8-11分, 低危: 0-7分.

等级 高(3) 中(2) 低(1)
Damage Potential 获取完全验证权限; 执行管理员操作; 非法上传文件 泄露敏感信息 泄露其他信息
Reproducibility 攻击者可以随意再次攻击 攻击者可以重复攻击, 但有时间限制 攻击者很难重复攻击
Exploitability 初学者在短期内能掌握攻击方法 熟练的攻击者才能完成这次攻击 漏洞利用条件非常苛刻
Affected users 所有用户, 默认配置, 关键用户 部分用户, 非默认配置 极少数用户, 匿名用户
Discoverability 漏洞很明显, 攻击条件很容易获得 在私有区域, 部分人能看到, 需要深入挖掘漏洞 发现该漏洞极其困难

举个例子

1
2
3
4
5
6
7
SQL 注入: D(3) + R(3) + E(3) + A(3) + D(3) = 15 高危

XSS 攻击: D(2) + R(2) + E(2) + A(2) + D(2) = 10 中危

钓鱼欺骗: D(3) + R(1) + E(2) + A(1) + D(1) = 8 中危

铁锤砸机: D(1) + R(1) + E(1) + A(1) + D(1) = 5 低危