| 等 级 |
高(3) |
中(2) |
低(1) |
| Damage Potential |
获取完全验证权限;执行管理员操作;非法上传文件 |
泄露敏感信息 |
泄露其他信息 |
| Reproducibility |
攻击者可以随意再次攻击 |
攻击者可以重复攻击,但有时间限制 |
攻击者很难重复攻击过程 |
| Exploitability |
初学者在短期内能掌握攻击方法 |
熟练的攻击者才能完成这次攻击 |
漏洞利用条件非常苛刻 |
| Affected users |
所有用户,默认配置,关键用户 |
部分用户,非默认配置 |
极少数用户,匿名用户 |
| Discoverability |
漏洞很显眼,攻击条件很容易获得 |
在私有区域,部分人能看到,需要深入挖掘漏洞 |
发现该漏洞极其困难 |
参考资料
[1]. https://www.owasp.org/index.php/Threat_Risk_Modeling
[2]. http://en.wikipedia.org/wiki/DREAD:_Risk_assessment_model
[3]. https://msdn.microsoft.com/en-us/library/ff648644.aspx
[4]. http://www.slideshare.net/chuckbt/stride-and-dread
[5]. http://websec.io/2013/03/20/DREADing-Your-Security.html
[6]. http://book.51cto.com/art/201204/330062.htm