Anwendungsschwachstellen-Felder
Schwachstellen werden automatisch erstellt, wenn Datensätze aus der National Vulnerability Database (NVD), Common Weakness Enumeration (CWE) oder Integrationen von Drittanbietern heruntergeladen werden. NVD und CWE werden unter Bibliotheken in Vulnerability Response oder unter Schwachstellen in Application Vulnerability Responsegespeichert.
CWE-Schwachstelleneintragsfelder
Die Felder in dieser Tabelle sind schreibgeschützt.
| Feld | Beschreibung |
|---|---|
| CWE-ID | Bezeichner für diesen Schwachstelleneintrag. Dieser Bezeichner wird sowohl für Kategorien als auch für Schwachstellen verwendet und ist zwischen den beiden Datensätzen eindeutig. |
| Name | Beschreibender Name, der dieser CWE-ID zugewiesen ist. |
| Wahrscheinlichkeit der Ausnutzung | Wie wahrscheinlich es ist, dass die Schwachstelle auf einer qualitativen Skala ausgenutzt wird. Einer der folgenden:
|
| Position in OWASP Top 10 | Numerische Position dieser Schwachstelle in der OWASP Top 10-Liste. |
| SANS an Position 25 | Numerische Position dieser Schwachstelle in der SAN-Top-25-Liste. |
| Klasse | Typ der Schwachstelle |
| Status | Einer der folgenden:
|
| Zusammenfassung | Einer der folgenden:
|
| Aktualisiert | Zeitpunkt der letzten Aktualisierung des Datensatzes in der Instanz. |
| Funktionsbereiche | Liste der betroffenen Funktionsbereiche. Beispiel: Dateiverarbeitung. Wird nur für 24/862 Schwachstellen ausgefüllt. |
| Betroffene Ressourcen | Liste der betroffenen Ressourcen. Beispiel: Datei oder Verzeichnis. Wird nur für 51/863 Schwachstellen ausgefüllt. |
| URL | Knowledge Base-Artikel, der dieser Schwachstelle zugeordnet ist. |
| Beschreibung | Beschreibung der Schwachstelle. |
| Integrationsausführung | Die Integrationsausführung, in der diese CWE importiert wurde. |
| Abschnitte | |
| Zusätzliche Details | Beschreibungen des Softwarekonzepts, die die Schwachstelle weiter erläutern. Beinhaltet:
|
| Erkennungsmethoden | Details dazu, wie Sie diese Schwachstelle in einer Anwendung erkennen können. |
| Einführungsmodi | Die Phasen, in denen die Schwachstelle eingeführt wird, z. B. „Implementierung“, „ Architektur und Design“usw. |
| Demo-Beispiele | Codebeispiele der Schwachstelle mit zugehörigen Beschreibungen. |
| Potenzielle Minderungen | Details darüber, wie die Schwachstelle verhindert werden kann, einschließlich der Phase des Anwendungslebenszyklus, in der sie auftritt, und der Effektivität der Verringerung. |
| Zugehörige Listen | |
| Beziehungen | CWEs, die dieser Schwachstelle zugeordnet sind. Listet Beziehungen zwischen dieser CWE und anderen auf. Kann übergeordnet/untergeordnet, folgt/vorangehend, erforderlich von/erfordert (für zusammengesetzte Schwachstellen), CanAlsoBe, PeerOf, MemberOf enthalten. |
| Beispiele für Beobachtung | Einige CVEs, die für diese Schwachstelle repräsentativ sind. |
| Häufige Konsequenzen | Konsequenzen eines erfolgreichen Exploits in Bezug auf Umfang und Auswirkung. Beispiel: Bereich: Vertraulichkeit Auswirkung: Anwendungsdaten lesen |
| Mitgliedschaften | CWE-Mitgliedschaften mit dieser Schwachstelle. |
| Anwendbare Plattformen | Plattformen, die dieser Schwachstelle zugeordnet sind |
| Anwendungsschwachstelleneinträge | Andere Anwendungsschwachstelleneinträge, die einem zugeordnet sind. |
| Externe Referenzen | Informationen zur Schwachstelle aus externen Quellen. |
Anwendungsschwachstellen-Eintragsfelder
| Feld | Beschreibung |
|---|---|
| ID | Bezeichner für diesen Schwachstelleneintrag. |
| Quelle | Ursprung der Schwachstelle – ob ein Scanner oder physischer Test. |
| Schweregrad | Normalisierter Schweregrad dieser Schwachstelle. Schweregradzuordnungen werden für NVD und mit ServiceNow Drittanbieterintegrationen bereitgestellt. Weitere Informationen zum Erstellen oder Anpassen von Schweregradzuordnungen finden Sie unter Ordnen Sie den Schweregrad eines angreifbaren Anwendungselements automatisch zu. |
Version 13.0: Primäre CWE Version 12.1: CWE-Eintrag |
Verweis auf das Common Weakness Enumeration-Element, in das diese Schwachstelle am besten passt. Wenn der Schwachstelle mehr als eine CWE zugeordnet ist, wird die primäre CWE wie folgt bestimmt:
|
| Kategoriename | Von der Drittpartei-Integration bereitgestellte Klassifizierung. Hilft bei der Zuweisung. |
| Schwachstellendetails | |
| Bedrohung | Beschreibung der Bedrohung durch diese Schwachstelle. |
| Beschreibung der Verringerung | Beschreibung der Schritte, die zur Minderung der Schwachstelle durchgeführt werden können. |
| Zugehörige Liste | |
| Version 13.0: CWEs |
Liste der mit dieser Schwachstelle verknüpften CWEs Gilt nicht für Veracode Vulnerability Integration. |
NVD-Eintragsfelder
NVD-Daten werden in Application Vulnerability Response nicht verwendet, und Einträge stellen nur Daten von Vulnerability Response dar.
CWEs, die in Application Vulnerability Responseverwendet werden, können auf NVD-Einträge als Beispiele für eine Schwachstelle verweisen und werden hier nur zu Informationszwecken bereitgestellt.
| Feld | Beschreibung |
|---|---|
| ID | Bezeichner für diesen Schwachstelleneintrag. |
| Risikobewertung | (Ausgeblendet, wenn der Schwachstelle keine Vulnerability Response angreifbaren Elemente (AEs) zugeordnet sind) Quantifizierte Risikopunktzahl, die VIs in „Kritisch“, „Hoch“, „Mittel“, „Niedrig“ und „Keine“ unterteilt. |
| Risikopunktzahl | (Ausgeblendet, wenn der Schwachstelle keine AEs zugeordnet sind) Berechneter Betrag des Risikos, das das angreifbare Element für Ihre Umgebung darstellt. |
| Schweregrad | Normalisierter Schweregrad dieser Schwachstelle in Vulnerability Response. Schweregradzuordnungen werden für NVD und mit ServiceNow Drittanbieterintegrationen bereitgestellt. Application Vulnerability Response Schweregrad wird vom importierten Quellschweregrad und nicht von NVD abgeleitet. Weitere Informationen zur Schweregradzuordnung Application Vulnerability Response finden Sie unter Ordnen Sie den Schweregrad eines angreifbaren Anwendungselements automatisch zu. |
| Exploit vorhanden | Ja, wenn mindestens ein Exploit mit dieser Schwachstelle verknüpft ist. |
| Exploit-Kompetenzniveau | Niedrigste Kompetenzstufe, die zum Ausnutzen dieser Schwachstelle erforderlich ist. |
| Exploit-Angriffsvektor | Angreifbarster Angriffsvektor der Exploits für diese Schwachstelle. |
| Aktive AEs | (Ausgeblendet, wenn der Schwachstelle keine AEs zugeordnet sind) Anzahl der mit dieser Schwachstelle verknüpften angreifbaren Elemente, die sich nicht im Status „Geschlossen“ befinden. Wenn keine aktiven AVIs für diese Schwachstelle vorhanden sind, werden Risikobewertung und Risikopunktzahl nicht angezeigt. |
| CWE-Eintrag | Verweis auf das Common Weakness Enumeration-Element, in das diese Schwachstelle gemäß NVD am besten passt. |
| Veröffentlichungsdatum | Datum, an dem die Schwachstelle veröffentlicht wurde. |
| Zuletzt geändert | Datum, an dem die Schwachstelle zuletzt geändert wurde. |
| Zusammenfassung | Beschreibung der Schwachstelle. |
| Schwachstellendetails | |
| CVSS v2 | Importierte CVSS v2-Daten |
| CVSS v3 | Importierte CVSS v3-Daten, vor 2015 nicht verfügbar. |
| Bevorzugte Lösung | (Ausgeblendet, wenn der Schwachstelle keine AEs zugeordnet sind) Lösung mit der höchsten Ersatzlösung in der Kette, abgeleitet von den Lösungen, auf die in der Schwachstelle verwiesen wird. Wenn in der Kette mehr als eine höchste Ersetzung vorhanden ist, wird kein Wert festgelegt. Jeder manuell festgelegte Wert kann bei nachfolgenden Importen überschrieben werden. Das manuelle Festlegen dieses Werts sollte für das angreifbare Element erfolgen. |
| Nachbesserungsstatus (Ausgeblendet, wenn der Schwachstelle keine AEs zugeordnet sind) |
|
| Zurückgestellte sind ausgeschlossen | |
| Angreifbare Elemente | Anzahl der aktiven angreifbaren Anwendungselemente mit dieser Schwachstelle. Diese Anzahl enthält nicht die zurückgestellten angreifbaren Elemente. |
| VIs insgesamt | Gesamtanzahl der angreifbaren Elemente mit dieser Schwachstelle. Diese Anzahl enthält nicht die zurückgestellten angreifbaren Elemente. |
| Behobene AEs in % | Abschluss in Prozent für die Korrektur angreifbarer Elemente mit dieser Schwachstelle. Diese Anzahl enthält nicht die zurückgestellten angreifbaren Elemente. |
| Beinhaltet Zurückgestellte | |
| Angreifbare Elemente | Anzahl der aktiven angreifbaren Elemente mit dieser Schwachstelle. |
| VIs insgesamt | Gesamtanzahl der angreifbaren Elemente mit dieser Schwachstelle. |
| Behobene AEs in % | Abschluss in Prozent für die Korrektur angreifbarer Elemente mit dieser Schwachstelle. |
| Zugehörige Links | |
| Vor v13.0: Import von Softwareschwachstellen erzwingen Hinweis: In v13.0 entfernt |
(Veraltet) Berechnet die Produktzuordnung mit ITSM Software Asset Management basierend auf Informationen aus NVD neu. Aktualisiert die Bibliothek für angreifbare Software. |
| Zustand aktualisieren | Zeigt Datum und Uhrzeit der letzten Aktualisierung an. Aktualisiert Folgendes:
|
| Zugehörige Listen | |
| Angreifbare Elemente | (Ausgeblendet, wenn der Schwachstelle keine AEs zugeordnet sind) Angreifbare Elemente, die dieser Schwachstelle zugeordnet sind. |
| Verwundbarkeitsreferenzen | Informationen über die Schwachstelle aus externen Quellen, angegeben von NVD. |
| Exploits | Exploits, die dieser Schwachstelle zugeordnet sind |
| Lösungen | (Ausgeblendet, wenn der Schwachstelle keine AEs zugeordnet sind) Alle Vulnerability Solution Management Integrationslösungen, die dieser Schwachstelle zugeordnet sind. |
| Version 13.0: Schwachstellen |
Importierte CWE-Schwachstellendaten, die einer gemeinsamen Schwachstelle und Gefährdung (CVE) zugeordnet sind |
| Version 13.0: Software mit Schwachstellen |
(Ausgeblendet, wenn der Schwachstelle keine AEs zugeordnet sind) Importierte CPE-Daten (Common Platform Enumeration), die der Schwachstelle zugeordnet sind |