Anwendungsschwachstellen-Felder
Schwachstellen werden automatisch erstellt, wenn Datensätze aus der National Vulnerability Database (NVD), der Common Weekness Enumeration (CWE) oder Integrationen von Drittanbietern heruntergeladen werden. NVD und CWE werden unter gespeichert Bibliotheken In Vulnerability Response Oder unter Schwachstellen In Application Vulnerability Response.
CWE-Schwachstelleneintragsfelder
Die Felder in dieser Tabelle sind schreibgeschützt.
| Feld | Beschreibung |
|---|---|
| CWE-ID | Bezeichner für diesen Schwachstelleneintrag. Dieser Bezeichner wird sowohl für Kategorien als auch für Schwachstellen verwendet und ist zwischen den beiden Datensätzen eindeutig. |
| Name | Beschreibender Name, der dieser CWE-ID zugewiesen ist. |
| Wahrscheinlichkeit der Ausnutzung | Wie wahrscheinlich es ist, dass die Schwäche auf qualitativer Skala ausgenutzt wird. Einer der folgenden:
|
| Position in OWASP Top 10 | Die numerische Position dieser Schwachstelle in der OWASP Top 10-Liste. |
| SANS bis Position 25 | Die numerische Position dieser Schwachstelle in der SAN Top 25-Liste. |
| Klasse | Typ der Schwäche |
| Status | Einer der folgenden:
|
| Zusammenfassung | Einer der folgenden:
|
| Aktualisiert | Zeitpunkt der letzten Aktualisierung des Datensatzes in der Instanz. |
| Funktionsbereiche | Liste der betroffenen Funktionsbereiche. Beispiel: Dateiverarbeitung . Wird nur für 24/862 Schwachstellen ausgefüllt. |
| Betroffene Ressourcen | Liste der betroffenen Ressourcen. Beispiel: Datei Oder Verzeichnis . Wird nur für 51/863 Schwachstellen ausgefüllt. |
| URL | Knowledge Base-artikel, der dieser Schwachstelle zugeordnet ist. |
| Beschreibung | Beschreibung der Schwachstelle. |
| Integrationsausführung | Die Integrationsausführung, in die diese CWE importiert wurde. |
| Abschnitte | |
| Zusätzliche Details | Softwarekonzeptbeschreibungen, die die Schwachstelle weiter erklären. Beinhaltet:
|
| Erkennungsmethoden | Details dazu, wie Sie diese Schwachstelle in einer Anwendung erkennen können. |
| Einführungsmodi | Die Phasen, in denen die Schwachstelle eingeführt wird, z. B. Implementierung , Architektur und Design , Und so weiter. |
| Demo-Beispiele | Codebeispiele der Schwachstelle mit zugehörigen Beschreibungen. |
| Potenzielle Minderungen | Details dazu, wie die Schwachstelle verhindert werden kann, einschließlich der Phase des Anwendungslebenszyklus, in der sie auftritt, und der Effektivität der Minderung. |
| Zugehörige Listen | |
| Beziehungen | CWEs, die dieser Schwachstelle zugeordnet sind. Listet Beziehungen zwischen dieser CWE und anderen auf. Kann übergeordnetes/untergeordnetes Element, folgt/voran, required by/requires (für zusammengesetzte Schwachstellen), CanAlsoBe, PeerOf, Member von enthalten. |
| Beispiele für Beobachtung | Einige CVEs, die für diese Schwachstelle repräsentativ sind. |
| Häufige Konsequenzen | Konsequenzen eines erfolgreichen Exploits in Bezug auf Umfang und Auswirkung. Zum Beispiel: Umfang: Vertraulichkeit Impact: Anwendungsdaten Lesen |
| Mitgliedschaften | CWE-Mitgliedschaften mit dieser Schwachstelle. |
| Anwendbare Plattformen | Plattformen, die dieser Schwachstelle zugeordnet sind. |
| Anwendungsschwachstelleneinträge | Andere Anwendungsschwachstelleneinträge, die einem zugeordnet sind. |
| Externe Referenzen | Informationen zur Schwachstelle aus externen Quellen. |
Anwendungsschwachstellen-Eingabefelder
| Feld | Beschreibung |
|---|---|
| ID | Bezeichner für diesen Schwachstelleneintrag. |
| Quelle | Ursprung der Schwachstelle – ob Scanner oder physischer Test. |
| Schweregrad | Normalisierter Schweregrad dieser Schwachstelle. Schweregradzuordnungen werden für NVD und mit bereitgestellt ServiceNow Drittpartei-Integrationen. Weitere Informationen zum Erstellen oder Anpassen von Schweregradzuordnungen finden Sie unter Ordnen Sie den Schweregrad eines angreifbaren Anwendungselements automatisch zu. |
Version 13.0: Primäre CWE Version 12.1: CWE-Eintrag |
Verweis auf das Element „Allgemeine Schwachstellenaufzählung“, in das diese Schwachstelle am besten passt. Wenn der Schwachstelle mehr als eine CWE zugeordnet ist, wird die primäre CWE wie folgt bestimmt:
|
| Kategoriename | Von der Drittpartei-Integration bereitgestellte Klassifizierung. Hilft bei der Zuweisung. |
| Schwachstellendetails | |
| Bedrohung | Beschreibung der Bedrohung durch diese Schwachstelle. |
| Beschreibung der Verringerung | Beschreibung der Schritte, die zur Minderung der Schwachstelle ausgeführt werden könnten. |
| Zugehörige Liste | |
| Version 13.0: CWEs |
Liste der CWEs, die dieser Schwachstelle zugeordnet sind. Nicht zutreffend für Veracode Vulnerability Integration. |
NVD-Eingabefelder
NVD-Daten werden in nicht verwendet Application Vulnerability Response Und -Einträge stellen dar Vulnerability Response Nur Daten.
CWEs, die in verwendet werden Application Vulnerability Response, Kann als Beispiele für eine Schwachstelle auf NVD-Einträge verweisen und werden hier nur zu Informationszwecken bereitgestellt.
| Feld | Beschreibung |
|---|---|
| ID | Bezeichner für diesen Schwachstelleneintrag. |
| Risikobewertung | (Ausgeblendet, wenn nicht Vulnerability Response Angreifbare Elemente (VIS) sind der Schwachstelle zugeordnet.) Quantifiziert Risikopunktzahl Trennung von VIS in „Kritisch“, „hoch“, „Mittel“, „Niedrig“ und „keine“. |
| Risikopunktzahl | (Ausgeblendet, wenn der Schwachstelle keine VIS zugeordnet sind) Berechnetes Risiko, das das angreifbare Element für Ihre Umgebung darstellt. |
| Schweregrad | Normalisierter Schweregrad dieser Schwachstelle in Vulnerability Response. Schweregradzuordnungen werden für NVD und mit bereitgestellt ServiceNow Drittpartei-Integrationen. Application Vulnerability Response Schweregrad Wird von importiert abgeleitet Quellenschweregrad Und nicht NVD. Für Informationen zu Application Vulnerability Response Schweregradzuordnung, siehe Ordnen Sie den Schweregrad eines angreifbaren Anwendungselements automatisch zu. |
| Exploit vorhanden | Ja, wenn dieser Schwachstelle mindestens ein Exploit zugeordnet ist. |
| Exploit-Kompetenzniveau | Niedrigstes Kompetenzniveau, das zum Ausnutzen dieser Schwachstelle erforderlich ist. |
| Exploit-Angriffsvektor | Der Angriffsvektor der Schwachstellen der Exploits für diese Schwachstelle. |
| Aktive AEs | (Ausgeblendet, wenn der Schwachstelle keine VIS zugeordnet sind) Anzahl der angreifbaren Elemente, die dieser Schwachstelle zugeordnet sind und sich nicht im Status „Geschlossen“ befinden. Wenn für diese Schwachstelle keine aktiven Avis vorhanden sind, Risikobewertung Und Risikopunktzahl Werden nicht angezeigt. |
| CWE-Eintrag | Verweis auf das Element „Allgemeine Schwachstellenaufzählung“, in das diese Schwachstelle gemäß NVD am besten passt. |
| Veröffentlichungsdatum | Datum, an dem die Schwachstelle veröffentlicht wurde. |
| Zuletzt geändert | Datum, an dem die Schwachstelle zuletzt geändert wurde. |
| Zusammenfassung | Beschreibung der Schwachstelle. |
| Schwachstellendetails | |
| CVSS v2 | CVSS v2-Daten importiert |
| CVSS v3 | Importierte CVSS v3-Daten, nicht verfügbar vor 2015. |
| Bevorzugte Lösung | (Ausgeblendet, wenn der Schwachstelle keine VIS zugeordnet sind) Lösung der höchsten Ersatzlösung in der Kette, abgeleitet von den in der Schwachstelle referenzierten Lösungen. Wenn in der Kette mehr als ein höchster Ersatz vorhanden ist, wird kein Wert festgelegt. Jeder manuell festgelegte Wert kann bei nachfolgenden Importen überschrieben werden. Das manuelle Festlegen dieses Werts sollte für das angreifbare Element erfolgen. |
| Nachbesserungsstatus (Ausgeblendet, wenn der Schwachstelle keine VIS zugeordnet sind) |
|
| Zurückgestellte sind ausgeschlossen | |
| Angreifbare Elemente | Anzahl der aktiven angreifbaren Anwendungselemente mit dieser Schwachstelle. Diese Anzahl schließt zurückgestellte angreifbare Elemente aus. |
| VIs insgesamt | Gesamtanzahl der angreifbaren Elemente mit dieser Schwachstelle. Diese Anzahl schließt zurückgestellte angreifbare Elemente aus. |
| %VIS korrigiert | Abschluss in Prozent für die Korrektur angreifbarer Elemente mit dieser Schwachstelle. Diese Anzahl schließt zurückgestellte angreifbare Elemente aus. |
| Beinhaltet Zurückgestellte | |
| Angreifbare Elemente | Anzahl der aktiven angreifbaren Elemente mit dieser Schwachstelle. |
| VIs insgesamt | Gesamtanzahl der angreifbaren Elemente mit dieser Schwachstelle. |
| %VIS korrigiert | Abschluss in Prozent für die Korrektur angreifbarer Elemente mit dieser Schwachstelle. |
| Zugehörige Links | |
| Vor v13.0: Import von Software-Schwachstellen erzwingen Hinweis: In v13.0 entfernt |
(Veraltet) Berechnet die Produktzuordnung mit neu ITSM Software Asset Management Basierend auf Informationen von NVD. Aktualisiert die Bibliothek der angreifbaren Software. |
| Zustand aktualisieren | Zeigt Datum und Uhrzeit der letzten Aktualisierung an. Aktualisiert Folgendes:
|
| Zugehörige Listen | |
| Angreifbare Elemente | (Ausgeblendet, wenn der Schwachstelle keine VIS zugeordnet sind) Angreifbare Elemente, die dieser Schwachstelle zugeordnet sind. |
| Verwundbarkeitsreferenzen | Informationen über die Schwachstelle aus externen Quellen, zitiert von NVD. |
| Exploits | Exploits, die dieser Schwachstelle zugeordnet sind. |
| Lösungen | (Ausgeblendet, wenn der Schwachstelle keine VIS zugeordnet sind) Alle Vulnerability Solution Management Integrationslösungen, die dieser Schwachstelle zugeordnet sind. |
| Version 13.0: Schwachstellen |
Importierte CWE-Schwachstellendaten, die einem Common Vulnerabilities and Exposures (CVE) zugeordnet sind. |
| Version 13.0: Software mit Schwachstellen |
(Ausgeblendet, wenn der Schwachstelle keine VIS zugeordnet sind) Importierte CPE-Daten (Common Platform Enumeration), die der Schwachstelle zugeordnet sind. |