Tabulā apkopota informācija par ievainojamību ziņojumu veidiem, kurus CERT.LV neklasificē un neapstrādā kā ievainojamību ziņojumus Nacionālās kiberdrošības likuma izpratnē. Ziņojums tiek pieņemts zināšanai (platformā norādot ietekmi “Informatīvs”).
CERT.LV ir tiesības noraidīt ziņojumu par nepilnībām, ar zemu vai nekādu ietekmi.
|
Veids |
Apraksts / Piemēri |
Piezīmes |
|---|---|---|
|
1. Teorētiska ievainojamība[1] |
Ziņojumi par gadījumiem, kas ietekmē tikai neatbalstītu vai dzīves cikla beigās esošu pārlūkprogrammu vai operētājsistēmu lietotājus |
Uzskatāmi par nebūtiskiem riska pārvaldībā |
|
Bojātas saites nolaupīšana[2] (Broken link hijacking), cilnes nozagšana[3] (tabnabbing), satura viltošana, teksta ievades manipulācijas |
Nav tiešas drošības ietekmes |
|
|
Pašekspluatācijas iespējas (self-XSS, self-DoS) |
Tiek izskatītas kā potenciāla ievainojamība, ja ir iespējama cita lietotāja apdraudēšana |
|
|
2. Zema vai nekāda drošības ietekme[4] |
Klikšķu nolaupīšana[5] |
Tiek izskatītas kā potenciāla ievainojamība, ja ir pierādāma iespēja veikt darbību lietotāja vārdā |
|
Pieprasījuma viltošana starp vietnēm[6] (Cross-Site Request Forgery) neietekmējot lietotāju (piem., tikai izrakstīšanās) |
Tiek uzskatīts par ziņojumu ar zemu drošības ietekmi |
|
|
Dažādas izcelsmes resursu koplietošanas (Cross-origin resource sharing) iestatījumi bez datu noplūdes riska |
Tikai konfigurācijas problēmas, bez faktiskas ievainojamības |
|
|
Programmatūras versiju vai servera kļūdu atklāšana |
Ziņojumi par kļūdas paziņojumiem tiks izskatīti kā ievainojamība, ja ir pierādāms drošības risks (iesniegti pierādījumi konfidencialitātes, integritātes, pieejamības apdraudējumam) |
|
|
Dažādu ietvaru noklusētie faili, piemēram Drupal, WordPress, Joomla, u.c readme.txt, changelog.txt, example-config.php, .env , web.config, .htaccess u.c bez pierādāmas ietekmes. |
|
|
|
CSV injekcija, atvērtie pāradresējumi (ja nav papildu riska), WordPress XML-RPC interfeiss (xmlrpc.php) -- Prototipa piesārņošana (Prototype pollution) bez tehniskā ievainojamības apraksta (PoC) |
|
|
|
3. Konfigurācijas ieteikumu neieviešana, kas nav tieša ievainojamība |
SSL/TLS konfigurācijas nepilnības, bez SSL pinning, nav privilēģiju eskalācijas pierādījuma (jailbreak) |
|
|
Sīkdatņu konfigurācijas nepilnības (piemēram, Secure/HttpOnly karodziņi) |
|
|
|
Lielākā daļa problēmu, kas saistītas ar pieprasījumu ierobežošanu (rate limiting) |
|
|
|
E-pasta drošības konfigurācijas nepilnības (SPF, DKIM, DMARC) |
|
Ārpus CVD tvēruma ir ievainojamību meklēšana, izmantojot sociālo inženieriju, fizisku piekļuvi infrastruktūrai vai telpām, pārslodzes pārbaudes (piemēram, surogātpasts vai tīmekļa formu aizpilde), kā arī metodes, kas var ietekmēt pakalpojumu pieejamību (DoS, DDoS uzbrukumu testi, liela apjoma pieprasījumi). Šādu metožu izmantošana pieļaujama tikai ar attiecīgo informācijas tehnoloģiju infrastruktūras turētāju vai īpašnieku atļauju.
[1] Nepieciešama maz ticama lietotāja rīcība vai specifiski apstākļi. Šādas ievainojamība reti ir izmantojamas reālā pasaulē.
[2] Uzbrukuma veids, kurā ļaunprātīgi lietotāji izmanto bojātas saites (broken links) vai neaktīvas URL adreses, lai novirzītu apmeklētājus uz ļaunprātīgām vai maldinošām vietnēm.
[3] Uzbrukuma veids, kas notiek, kad tīmekļa pārlūkprogrammas lietotāji tiek novirzīti uz maldinošām vai ļaunatūras vietnēm, kas var notikt, kad viņi apmeklē citas cilnes.
[4] Ziņojums nesatur konkrētu drošības ietekmes pamatojumu.
[5] Plašākā nozīmē tas apzīmē uzbrukuma tehniku, kurā lietotājs tiek maldināts noklikšķināt uz kaut kā (piemēram, pogas vai saites), kas patiesībā ir paslēpts zem vizuāli citāda elementa. Rezultātā lietotājs, to nezinot, veic darbību uz citas sistēmas vai vietnes, piemēram, apstiprina maksājumu, maina iestatījumus u.tml.
[6] Tīmekļa uzbrukuma veids, kurā ļaunprātīga vietne liek lietotājam, kurš jau ir autentificēts kādā citā vietnē (piemēram, internetbankā), veikt neapzinātu darbību šajā citā vietnē. Uzbrukums izmanto to, ka pārlūkprogramma automātiski nosūta autentifikācijas datus (piemēram, sīkfailus), kad tiek veikts pieprasījums uz attiecīgo vietni.
