OnWorks-ന്റെ Kali Linux ഗൈഡിൽ നിന്നുള്ള ദുർബലത വിലയിരുത്തൽ

ഉള്ളടക്കത്തിലേക്ക് പോകുക

11.2.1. ദുർബലത വിലയിരുത്തൽ

A കേടുപാടുകൾ ഒരു വിവര സംവിധാനത്തിന്റെ രഹസ്യസ്വഭാവം, സമഗ്രത അല്ലെങ്കിൽ ലഭ്യത എന്നിവയിൽ വിട്ടുവീഴ്ച ചെയ്യാൻ ഏതെങ്കിലും വിധത്തിൽ ഉപയോഗിക്കാവുന്ന ഒരു ബലഹീനതയായി കണക്കാക്കപ്പെടുന്നു. ഒരു അപകടസാധ്യത വിലയിരുത്തലിൽ, കണ്ടെത്തിയ കേടുപാടുകളുടെ ഒരു ലളിതമായ ഇൻവെന്ററി സൃഷ്ടിക്കുക എന്നതാണ് നിങ്ങളുടെ ലക്ഷ്യം. ലക്ഷ്യം പരിസ്ഥിതി. ഒരു ലക്ഷ്യ പരിസ്ഥിതിയെക്കുറിച്ചുള്ള ഈ ആശയം വളരെ പ്രധാനമാണ്. നിങ്ങളുടെ ഉപഭോക്താവിന്റെ ടാർഗെറ്റ് നെറ്റ്‌വർക്കിന്റെയും ആവശ്യമായ ലക്ഷ്യങ്ങളുടെയും പരിധിയിൽ നിങ്ങൾ തുടരുമെന്ന് ഉറപ്പുണ്ടായിരിക്കണം. ഒരു വിലയിരുത്തലിന്റെ പരിധിക്ക് പുറത്ത് ഇഴയുന്നത് സേവനത്തിന്റെ തടസ്സം, നിങ്ങളുടെ ക്ലയന്റുമായുള്ള വിശ്വാസ ലംഘനം അല്ലെങ്കിൽ നിങ്ങൾക്കും നിങ്ങളുടെ തൊഴിലുടമയ്‌ക്കുമെതിരായ നിയമനടപടിക്കും കാരണമാകും.

താരതമ്യേന ലാളിത്യം കാരണം, കൂടുതൽ പക്വതയുള്ള പരിതസ്ഥിതികളിൽ ഒരു ദുർബലത പരിശോധന പലപ്പോഴും അവരുടെ കൃത്യമായ ഉത്സാഹം പ്രകടിപ്പിക്കുന്നതിന്റെ ഭാഗമായി പൂർത്തിയാക്കാറുണ്ട്. മിക്ക കേസുകളിലും, വൾനറബിലിറ്റി അനാലിസിസിൽ ഉള്ളത് പോലെയുള്ള ഒരു ഓട്ടോമേറ്റഡ് ടൂൾ7 വെബ് ആപ്ലിക്കേഷനുകളും8 കാളി ടൂൾസ് സൈറ്റിന്റെയും കാളി ഡെസ്‌ക്‌ടോപ്പ് ആപ്ലിക്കേഷനുകളുടെ മെനുവിന്റെയും വിഭാഗങ്ങൾ, ഒരു ടാർഗെറ്റ് പരിതസ്ഥിതിയിൽ തത്സമയ സിസ്റ്റങ്ങൾ കണ്ടെത്തുന്നതിനും ലിസണിംഗ് സേവനങ്ങൾ തിരിച്ചറിയുന്നതിനും സെർവർ സോഫ്‌റ്റ്‌വെയർ, പതിപ്പ്, പ്ലാറ്റ്‌ഫോം മുതലായവ പോലെ കഴിയുന്നത്ര വിവരങ്ങൾ കണ്ടെത്തുന്നതിന് അവയെ എണ്ണിപ്പറയുന്നതിനും ഉപയോഗിക്കുന്നു. .

സാധ്യമായ പ്രശ്‌നങ്ങളുടെയോ കേടുപാടുകളുടെയോ അറിയപ്പെടുന്ന ഒപ്പുകൾക്കായി ഈ വിവരങ്ങൾ പിന്നീട് പരിശോധിക്കുന്നു. അറിയപ്പെടുന്ന പ്രശ്‌നങ്ങളെ പ്രതിനിധീകരിക്കാൻ ഉദ്ദേശിച്ചുള്ള ഡാറ്റാ പോയിന്റ് കോമ്പിനേഷനുകൾ കൊണ്ടാണ് ഈ ഒപ്പുകൾ നിർമ്മിച്ചിരിക്കുന്നത്. ഒന്നിലധികം ഡാറ്റ പോയിന്റുകൾ ഉപയോഗിക്കുന്നു, കാരണം നിങ്ങൾ കൂടുതൽ ഡാറ്റ പോയിന്റുകൾ ഉപയോഗിക്കുന്നു, കൂടുതൽ കൃത്യമായ ഐഡന്റിഫിക്കേഷൻ. സാധ്യതയുള്ള ഡാറ്റാ പോയിന്റുകളുടെ വളരെ വലിയ സംഖ്യ നിലവിലുണ്ട്, എന്നാൽ ഇവയിൽ മാത്രം പരിമിതപ്പെടുത്തിയിട്ടില്ല:

• ഓപ്പറേറ്റിംഗ് സിസ്റ്റം പതിപ്പ്: ഒരു ഓപ്പറേറ്റിംഗ് സിസ്റ്റം പതിപ്പിൽ സോഫ്റ്റ്‌വെയർ ദുർബലമാകുന്നത് അസാധാരണമല്ല, എന്നാൽ മറ്റൊന്നിൽ അല്ല. ഇക്കാരണത്താൽ, ടാർഗെറ്റുചെയ്‌ത ആപ്ലിക്കേഷൻ ഏത് ഓപ്പറേറ്റിംഗ് സിസ്റ്റം പതിപ്പാണ് ഹോസ്റ്റുചെയ്യുന്നതെന്ന് കഴിയുന്നത്ര കൃത്യമായി നിർണ്ണയിക്കാൻ സ്കാനർ ശ്രമിക്കും.

• പാച്ച് ലെവൽ: പലതവണ, ഒരു ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിനായുള്ള പാച്ചുകൾ റിലീസ് ചെയ്യും, അത് പതിപ്പ് വിവരങ്ങൾ വർദ്ധിപ്പിക്കില്ല, പക്ഷേ ഒരു ദുർബലത പ്രതികരിക്കുന്ന രീതി മാറ്റുന്നു, അല്ലെങ്കിൽ കേടുപാടുകൾ പൂർണ്ണമായും ഇല്ലാതാക്കുന്നു.

• പ്രോസസർ ആർക്കിടെക്ചർ: Intel x86, Intel x64, ARM-ന്റെ ഒന്നിലധികം പതിപ്പുകൾ, UltraSPARC, എന്നിങ്ങനെ ഒന്നിലധികം പ്രോസസർ ആർക്കിടെക്ചറുകൾക്കായി നിരവധി സോഫ്റ്റ്‌വെയർ ആപ്ലിക്കേഷനുകൾ ലഭ്യമാണ്.

5https://en.wikipedia.org/wiki/Executable_space_protection#Windows 6https://en.wikipedia.org/wiki/Address_space_layout_randomization 7http://tools.kali.org/category/vulnerability-analysis 8http://tools.kali.org/category/web-applications‌‌‌

ചില സാഹചര്യങ്ങളിൽ, ഒരു പ്രത്യേക വാസ്തുവിദ്യയിൽ മാത്രമേ ഒരു ദുർബലത നിലനിൽക്കൂ, അതിനാൽ ഈ വിവരങ്ങൾ അറിയുന്നത് കൃത്യമായ ഒപ്പിന് നിർണായകമാണ്.

• സോഫ്റ്റ്‌വെയർ പതിപ്പ്: ഒരു അപകടസാധ്യത തിരിച്ചറിയാൻ ക്യാപ്‌ചർ ചെയ്യേണ്ട അടിസ്ഥാന ഇനങ്ങളിൽ ഒന്നാണ് ടാർഗെറ്റുചെയ്‌ത സോഫ്‌റ്റ്‌വെയറിന്റെ പതിപ്പ്.

ഇവയും മറ്റ് നിരവധി ഡാറ്റാ പോയിന്റുകളും ഒരു ദുർബലതാ സ്കാനിന്റെ ഭാഗമായി ഒരു ഒപ്പ് ഉണ്ടാക്കാൻ ഉപയോഗിക്കും. പ്രതീക്ഷിച്ചതുപോലെ, കൂടുതൽ ഡാറ്റ പോയിന്റുകൾ പൊരുത്തപ്പെടുന്നു, ഒപ്പ് കൂടുതൽ കൃത്യതയുള്ളതായിരിക്കും. സിഗ്നേച്ചർ പൊരുത്തങ്ങൾ കൈകാര്യം ചെയ്യുമ്പോൾ, നിങ്ങൾക്ക് ചില വ്യത്യസ്ത സാധ്യതയുള്ള ഫലങ്ങൾ ഉണ്ടാകാം:

• ട്രൂ പോസിറ്റീവ്: ഒപ്പ് പൊരുത്തപ്പെടുന്നു, അത് ഒരു യഥാർത്ഥ അപകടസാധ്യത പിടിച്ചെടുക്കുന്നു. നിങ്ങളുടെ ഓർഗനൈസേഷനെ (അല്ലെങ്കിൽ നിങ്ങളുടെ ക്ലയന്റ്) ഉപദ്രവിക്കാൻ ക്ഷുദ്ര വ്യക്തികൾക്ക് പ്രയോജനപ്പെടുത്താൻ കഴിയുന്ന ഇനങ്ങളായതിനാൽ, നിങ്ങൾ പിന്തുടരേണ്ടതും തിരുത്തേണ്ടതും ഈ ഫലങ്ങൾ തന്നെയാണ്.

• തെറ്റായ പോസിറ്റീവ്: ഒപ്പ് പൊരുത്തപ്പെടുന്നു; എന്നിരുന്നാലും കണ്ടെത്തിയ പ്രശ്നം ഒരു യഥാർത്ഥ അപകടമല്ല. ഒരു വിലയിരുത്തലിൽ, ഇവ പലപ്പോഴും ശബ്ദമായി കണക്കാക്കപ്പെടുന്നു, മാത്രമല്ല ഇത് നിരാശാജനകവുമാണ്. കൂടുതൽ വിപുലമായ സാധൂകരണമില്ലാതെ ഒരു യഥാർത്ഥ പോസിറ്റീവിനെ തെറ്റായ പോസിറ്റീവായി തള്ളിക്കളയാൻ നിങ്ങൾ ഒരിക്കലും ആഗ്രഹിക്കുന്നില്ല.

• ട്രൂ നെഗറ്റീവ്: ഒപ്പ് പൊരുത്തപ്പെടുന്നില്ല, അപകടസാധ്യതയില്ല. ഒരു ലക്ഷ്യത്തിൽ ഒരു അപകടസാധ്യത നിലവിലില്ലെന്ന് പരിശോധിച്ചുറപ്പിക്കുന്ന അനുയോജ്യമായ സാഹചര്യമാണിത്.

• തെറ്റായ നെഗറ്റീവ്: ഒപ്പ് പൊരുത്തപ്പെടുന്നില്ലെങ്കിലും നിലവിലുള്ള ഒരു അപകടസാധ്യതയുണ്ട്. തെറ്റായ പോസിറ്റീവ് പോലെ മോശം, തെറ്റായ നെഗറ്റീവ് വളരെ മോശമാണ്. ഈ സാഹചര്യത്തിൽ, ഒരു പ്രശ്നം നിലവിലുണ്ട്, പക്ഷേ സ്കാനർ അത് കണ്ടെത്തിയില്ല, അതിനാൽ നിങ്ങൾക്ക് അതിന്റെ അസ്തിത്വത്തെക്കുറിച്ച് ഒരു സൂചനയും ഇല്ല.

നിങ്ങൾക്ക് ഊഹിക്കാൻ കഴിയുന്നതുപോലെ, കൃത്യമായ ഫലങ്ങൾക്ക് ഒപ്പുകളുടെ കൃത്യത വളരെ പ്രധാനമാണ്. കൂടുതൽ ഡാറ്റ നൽകിയാൽ, ഒരു ഓട്ടോമേറ്റഡ് സിഗ്നേച്ചർ അടിസ്ഥാനമാക്കിയുള്ള സ്കാനിൽ നിന്ന് കൃത്യമായ ഫലങ്ങൾ ലഭിക്കാനുള്ള സാധ്യത കൂടുതലാണ്, അതിനാലാണ് ആധികാരിക സ്കാനുകൾ പലപ്പോഴും ജനപ്രിയമാകുന്നത്.

ഒരു ആധികാരിക സ്കാൻ ഉപയോഗിച്ച്, സ്കാനിംഗ് സോഫ്റ്റ്വെയർ ടാർഗെറ്റിലേക്ക് പ്രാമാണീകരിക്കുന്നതിന് നൽകിയിരിക്കുന്ന ക്രെഡൻഷ്യലുകൾ ഉപയോഗിക്കും. ഇത് സാധ്യമായതിനേക്കാൾ ഒരു ലക്ഷ്യത്തിലേക്ക് ആഴത്തിലുള്ള ദൃശ്യപരത നൽകുന്നു. ഉദാഹരണത്തിന്, ഒരു സാധാരണ സ്കാനിൽ നിങ്ങൾക്ക് ലിസണിംഗ് സേവനങ്ങളിൽ നിന്നും അവ നൽകുന്ന പ്രവർത്തനങ്ങളിൽ നിന്നും ലഭിക്കുന്ന സിസ്റ്റത്തെ കുറിച്ചുള്ള വിവരങ്ങൾ മാത്രമേ കണ്ടെത്താനാകൂ. ഇത് ചിലപ്പോൾ കുറച്ച് വിവരങ്ങളായിരിക്കാം, പക്ഷേ നിങ്ങൾ സിസ്റ്റത്തിലേക്ക് ആധികാരികത ഉറപ്പാക്കുകയും ഇൻസ്റ്റാൾ ചെയ്ത എല്ലാ സോഫ്റ്റ്‌വെയറുകളും പ്രയോഗിച്ച പാച്ചുകളും റണ്ണിംഗ് പ്രോസസുകളും മറ്റും സമഗ്രമായി അവലോകനം ചെയ്യുകയും ചെയ്താൽ ലഭിക്കുന്ന ഡാറ്റയുടെ ലെവലും ഡെപ്‌റ്റുമായി ഇതിന് മത്സരിക്കാനാവില്ല. . മറ്റുതരത്തിൽ കണ്ടെത്താനാകാത്ത കേടുപാടുകൾ കണ്ടെത്തുന്നതിന് ഡാറ്റയുടെ ഈ വിശാലത ഉപയോഗപ്രദമാണ്.

നന്നായി നടത്തിയ ഒരു ദുർബലത വിലയിരുത്തൽ ഒരു ഓർഗനൈസേഷനിൽ ഉണ്ടാകാനിടയുള്ള പ്രശ്നങ്ങളുടെ ഒരു സ്നാപ്പ്ഷോട്ട് അവതരിപ്പിക്കുകയും കാലത്തിനനുസരിച്ച് മാറ്റം അളക്കുന്നതിനുള്ള അളവുകൾ നൽകുകയും ചെയ്യുന്നു. ഇത് വളരെ ഭാരം കുറഞ്ഞ ഒരു വിലയിരുത്തലാണ്, എന്നിട്ടും, സേവന ലഭ്യതയും ബാൻഡ്‌വിഡ്ത്തും ഏറ്റവും നിർണായകമായ പകൽ സമയത്ത് സാധ്യമായ പ്രശ്നങ്ങൾ ഒഴിവാക്കാൻ പല ഓർഗനൈസേഷനുകളും ഓഫ്-മണിക്കൂറുകളിൽ സ്ഥിരമായി ഓട്ടോമേറ്റഡ് വൾനറബിലിറ്റി സ്കാനുകൾ നടത്തും.

മുമ്പ് സൂചിപ്പിച്ചതുപോലെ, കൃത്യമായ ഫലം ലഭിക്കുന്നതിന് ഒരു ദുർബലത സ്കാൻ നിരവധി വ്യത്യസ്ത ഡാറ്റ പോയിന്റുകൾ പരിശോധിക്കേണ്ടതുണ്ട്. ഈ വ്യത്യസ്ത പരിശോധനകൾക്കെല്ലാം ടാർഗെറ്റ് സിസ്റ്റത്തിൽ ലോഡ് സൃഷ്ടിക്കാനും ബാൻഡ്‌വിഡ്ത്ത് ഉപയോഗിക്കാനും കഴിയും. നിർഭാഗ്യവശാൽ, തുറന്ന സേവനങ്ങളുടെ എണ്ണത്തെയും തരങ്ങളെയും ആശ്രയിച്ചിരിക്കുന്നതിനാൽ, ടാർഗെറ്റിൽ എത്ര വിഭവങ്ങൾ ഉപയോഗിക്കുമെന്ന് കൃത്യമായി അറിയാൻ പ്രയാസമാണ്.

ആ സേവനങ്ങളുമായി ബന്ധപ്പെടുത്തുന്ന പരിശോധനകൾ. ഒരു സ്കാൻ ചെയ്യുന്നതിനുള്ള ചെലവ് ഇതാണ്; അത് സിസ്റ്റം റിസോഴ്‌സുകൾ കൈവശപ്പെടുത്താൻ പോകുന്നു. ഈ ടൂളുകൾ പ്രവർത്തിപ്പിക്കുമ്പോൾ ഉപഭോഗം ചെയ്യപ്പെടുന്ന വിഭവങ്ങളെക്കുറിച്ചും ടാർഗെറ്റ് സിസ്റ്റത്തിന് എത്ര ലോഡ് എടുക്കാമെന്നും പൊതുവായ ധാരണ ഉണ്ടായിരിക്കേണ്ടത് പ്രധാനമാണ്.

ത്രെഡുകൾ സ്കാൻ ചെയ്യുന്നു മിക്ക വൾനറബിലിറ്റി സ്കാനറുകളിലും സജ്ജീകരിക്കാനുള്ള ഒരു ഓപ്ഷൻ ഉൾപ്പെടുന്നു ഓരോ സ്കാനിലും ത്രെഡുകൾ, ഇത് ഒരു സമയത്ത് സംഭവിക്കുന്ന കൺകറന്റ് ചെക്കുകളുടെ എണ്ണത്തിന് തുല്യമാണ്. ഈ സംഖ്യ വർദ്ധിപ്പിക്കുന്നത് മൂല്യനിർണ്ണയ പ്ലാറ്റ്‌ഫോമിലെ ലോഡിനെയും നിങ്ങൾ സംവദിക്കുന്ന നെറ്റ്‌വർക്കുകളിലും ലക്ഷ്യങ്ങളിലും നേരിട്ട് സ്വാധീനം ചെലുത്തും. നിങ്ങൾ ഈ സ്കാനറുകൾ ഉപയോഗിക്കുമ്പോൾ ഇത് മനസ്സിൽ സൂക്ഷിക്കേണ്ടത് പ്രധാനമാണ്. സ്കാനുകൾ വേഗത്തിൽ പൂർത്തിയാക്കുന്നതിന് ത്രെഡുകൾ വർദ്ധിപ്പിക്കുന്നത് പ്രലോഭനകരമാണ്, എന്നാൽ അങ്ങനെ ചെയ്യുന്നതുമായി ബന്ധപ്പെട്ട ഗണ്യമായ ലോഡ് വർദ്ധനവ് ഓർക്കുക.

ഒരു വൾനറബിലിറ്റി സ്കാൻ പൂർത്തിയാകുമ്പോൾ, കണ്ടെത്തിയ പ്രശ്നങ്ങൾ സാധാരണയായി CVE നമ്പർ പോലെയുള്ള ഇൻഡസ്ട്രി സ്റ്റാൻഡേർഡ് ഐഡന്റിഫയറുകളുമായി ബന്ധിപ്പിച്ചിരിക്കുന്നു.9, EDB-ID10, വെണ്ടർ ഉപദേശങ്ങൾ. ഈ വിവരങ്ങൾ, കേടുപാടുകൾ CVSS സ്കോർ സഹിതം11, ഒരു റിസ്ക് റേറ്റിംഗ് നിർണ്ണയിക്കാൻ ഉപയോഗിക്കുന്നു. തെറ്റായ നെഗറ്റീവുകൾക്കൊപ്പം (തെറ്റായ പോസിറ്റീവുകളും), ഈ ഏകപക്ഷീയമായ അപകടസാധ്യത റേറ്റിംഗുകൾ സ്കാൻ ഫലങ്ങൾ വിശകലനം ചെയ്യുമ്പോൾ പരിഗണിക്കേണ്ട പൊതുവായ പ്രശ്നങ്ങളാണ്.

കേടുപാടുകൾ കണ്ടെത്തുന്നതിന് ഓട്ടോമേറ്റഡ് ടൂളുകൾ സിഗ്നേച്ചറുകളുടെ ഒരു ഡാറ്റാബേസ് ഉപയോഗിക്കുന്നതിനാൽ, അറിയപ്പെടുന്ന ഒരു ഒപ്പിൽ നിന്നുള്ള ഏത് ചെറിയ വ്യതിയാനവും ഫലത്തെ മാറ്റിമറിച്ചേക്കാം. ഒരു തെറ്റായ പോസിറ്റീവ് നിലവിലില്ലാത്ത ഒരു ദുർബലതയെ തെറ്റായി ഫ്ലാഗ് ചെയ്യുന്നു, അതേസമയം തെറ്റായ നെഗറ്റീവ് ഒരു അപകടസാധ്യതയെ ഫലപ്രദമായി അന്ധമാക്കുകയും അത് റിപ്പോർട്ട് ചെയ്യാതിരിക്കുകയും ചെയ്യുന്നു. ഇക്കാരണത്താൽ, ഒരു സ്കാനർ അതിന്റെ സിഗ്നേച്ചർ റൂൾ ബേസ് പോലെ മികച്ചതാണെന്ന് പലപ്പോഴും പറയപ്പെടുന്നു. ഇക്കാരണത്താൽ, പല വെണ്ടർമാരും ഒന്നിലധികം സിഗ്-നേച്ചർ സെറ്റുകൾ നൽകുന്നു: ഒന്ന് ഗാർഹിക ഉപയോക്താക്കൾക്ക് സൗജന്യമായിരിക്കാവുന്നതും, കോർപ്പറേറ്റ് ഉപഭോക്താക്കൾക്ക് സാധാരണയായി വിൽക്കുന്ന, കൂടുതൽ സമഗ്രമായ, സാമാന്യം ചെലവേറിയ മറ്റൊരു സെറ്റും.

അപകടസാധ്യത സ്കാനുകളിൽ പലപ്പോഴും അഭിമുഖീകരിക്കുന്ന മറ്റൊരു പ്രശ്നം നിർദ്ദേശിക്കപ്പെട്ട റിസ്ക് റേറ്റിംഗുകളുടെ സാധുതയാണ്. പ്രിവിലേജ് ലെവൽ, സോഫ്‌റ്റ്‌വെയറിന്റെ തരം, പ്രീ- അല്ലെങ്കിൽ പോസ്‌റ്റ് ആധികാരികത എന്നിവ പോലുള്ള വിവിധ ഘടകങ്ങൾ പരിഗണിച്ച് ഈ റിസ്‌ക് റേറ്റിംഗുകൾ ഒരു പൊതു അടിസ്ഥാനത്തിലാണ് നിർവചിച്ചിരിക്കുന്നത്. നിങ്ങളുടെ പരിസ്ഥിതിയെ ആശ്രയിച്ച്, ഈ റേറ്റിംഗുകൾ ബാധകമാകാം അല്ലെങ്കിൽ ബാധകമാകില്ല, അതിനാൽ അവ അന്ധമായി സ്വീകരിക്കാൻ പാടില്ല. സിസ്റ്റങ്ങളെയും കേടുപാടുകളെയും കുറിച്ച് നന്നായി അറിയാവുന്നവർക്ക് മാത്രമേ റിസ്ക് റേറ്റിംഗുകൾ ശരിയായി സാധൂകരിക്കാൻ കഴിയൂ.

റിസ്ക് റേറ്റിംഗുകളിൽ സാർവത്രികമായി നിർവചിക്കപ്പെട്ട ഉടമ്പടി ഇല്ലെങ്കിലും, NIST പ്രത്യേക പ്രസിദ്ധീകരണം 800-3012 റിസ്ക് റേറ്റിംഗുകളുടെയും നിങ്ങളുടെ പരിതസ്ഥിതിയിലെ അവയുടെ കൃത്യതയുടെയും മൂല്യനിർണ്ണയത്തിനുള്ള അടിസ്ഥാനമായി ശുപാർശ ചെയ്യുന്നു. NIST SP 800-30, കണ്ടെത്തിയ ഒരു അപകടസാധ്യതയുടെ യഥാർത്ഥ അപകടസാധ്യത ഇങ്ങനെയാണ് നിർവചിക്കുന്നത് സംഭവിക്കാനുള്ള സാധ്യതയുടെയും ആഘാതത്തിന്റെയും സംയോജനം.

9https://cve.mitre.org 10https://www.exploit-db.com/about/ 11https://www.first.org/cvss

12http://csrc.nist.gov/publications/PubsSPs.html#800-30