CVSS v3.1 Calculator
CVSS는 CVSS(Common Vulnerability Scoring System) 약어로서 취약점의 가장 중요한 특성을 이해하고, 그것에 수치로 된 점수를 부여함으로써 심각성을 표기하는 시스템이다.
그럼 간단히 해당 내용에 대해서 알아보도록 하자.
1. CVSS
현재 CVSS는 3번째 버전(CVSS v3.1)을 사용하고 있으며, 사용자들이 Attack Vectior(공격 벡터), Attack Complexity(공격의 복잡성), Privileges Required(필요한 권한), User Interaction(사용자 참여 정도), Scope(공격 범위), Confidentiality(기밀성), Integrity(무결성), Availability(가용성)의 요소를 바탕으로 기본 점수를 매길 수 있다.
흔히 취약점에 대한 점수 및 취약점 위험도를 표현하기 위해 CVSS 표현법으로 나타내고 있다.
아래와 같이 점수를 토대로 위험도를 5가지로 분류하고 있다.
- None : 0.0
- Low : 0.1 ~ 3.9
- Medium : 4.0 ~ 6.9
- High : 7.0 ~ 8.9
- Critical : 9.0 ~ 10.0
취약점 내용을 살펴보다 보면 CVSS Score라고 해서 위험도 및 점수 그리고 어떤 항목에 선택을 하였는지를 아래와 같이 표현하고 있다.
- Medium 5.5 CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
이때 해당 내용을 조금이라도 편하게 작성 및 확인을 하기 위해서 Chandan이라는 개발자가 CVSS Calculator(계산기)를 만들어 놓았다.
위 내용을 좀 더 직관적으로 표현하도록 되어 있다.
원래는 해당 내용이 모두 영문으로 표기되어 있으나, 좀 더 편안하게 보기 위해서 내용에 대해서 한국어로 번역 및 조금 수정하여 아래 링크를 통해서 사용할 수 있도록 공개해놓았다.
이후 다른 CVE Code 내용 중 CVSS 값이 있는 경우 아래와 같이 해당 경로 뒤에 "#CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H" 정보 입력을 하면 위에 이미지처럼 정보를 한 번에 확인할 수 있다.
2. Docker Image & Docker Run
요즘은 Docker를 이용하여 Local PC 혹은 공용으로 사용하는 시스템에서도 Docker Image만 받아서 바로 서비스들을 실행할 수 있다.
그래서 수정한 CVSS 부분도 Docker로 실행 할 수 있도록 Docker Image로 만들어 배포하였다.
우선 Docker Image들이 올라가있는 Docker Hub에 해당 Image를 배포해 놓았다.
해당 Image를 Pull 하고 Run을 하면 동일한 서비스를 실행할 수 있다.
Image를 실행하는 방법은 Docker Hub에 작성 해 놓았다.
추후 Docker 관련 여러 사용법에 대해서 작성 하도록 하겠다.
- https://hub.docker.com/r/happylie/web-cvss-calc
- $ docker pull happylie/web-cvss-calc
- $ docker run -p 80:80 {image id}
🌵댓글