<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;">I feel the DREAD rating system is flexible enough to accomodate most edgecases while providing a solid base rating system for vulnerabilities categorically:<br><br>http://en.wikipedia.org/wiki/DREAD:_Risk_assessment_model<br><br><br><br>--- On <b>Sat, 2/2/13, Paweł Krawczyk <i><pawel.krawczyk@hush.com></i></b> wrote:<br><blockquote style="border-left: 2px solid rgb(16, 16, 255); margin-left: 5px; padding-left: 5px;"><br>From: Paweł Krawczyk <pawel.krawczyk@hush.com><br>Subject: Re: [WEB SECURITY] Poll: How do you rank the importance of a vulnerability?<br>To: websecurity@lists.webappsec.org<br>Date: Saturday, February 2, 2013, 11:17 AM<br><br><div id="yiv1197907362"><style><!--
#yiv1197907362  
 _filtered #yiv1197907362 {font-family:Calibri;panose-1:2 15 5 2 2 2 4 3 2 4;}
 _filtered #yiv1197907362 {font-family:Tahoma;panose-1:2 11 6 4 3 5 4 4 2 4;}
#yiv1197907362  
#yiv1197907362 p.yiv1197907362MsoNormal, #yiv1197907362 li.yiv1197907362MsoNormal, #yiv1197907362 div.yiv1197907362MsoNormal
        {margin:0cm;margin-bottom:.0001pt;font-size:12.0pt;font-family:"Times New Roman", "serif";}
#yiv1197907362 a:link, #yiv1197907362 span.yiv1197907362MsoHyperlink
        {color:blue;text-decoration:underline;}
#yiv1197907362 a:visited, #yiv1197907362 span.yiv1197907362MsoHyperlinkFollowed
        {color:purple;text-decoration:underline;}
#yiv1197907362 p.yiv1197907362MsoAcetate, #yiv1197907362 li.yiv1197907362MsoAcetate, #yiv1197907362 div.yiv1197907362MsoAcetate
        {margin:0cm;margin-bottom:.0001pt;font-size:8.0pt;font-family:"Tahoma", "sans-serif";}
#yiv1197907362 span.yiv1197907362Stylwiadomocie-mail17
        {font-family:"Calibri", "sans-serif";color:#1F497D;}
#yiv1197907362 span.yiv1197907362TekstdymkaZnak
        {font-family:"Tahoma", "sans-serif";}
#yiv1197907362 .yiv1197907362MsoChpDefault
        {font-size:10.0pt;}
 _filtered #yiv1197907362 {margin:70.85pt 70.85pt 70.85pt 70.85pt;}
#yiv1197907362 div.yiv1197907362WordSection1
        {}
--></style><div><div class="yiv1197907362WordSection1"><p class="yiv1197907362MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri", "sans-serif";color:#1F497D;" lang="EN-US">That’s theory. In practice you usually need to deal with hundreds of servers with tens of vulnerabilities on each. If you treat them all equally, you’ll get stuck forever  on fixing libtiff-type issues on the first one, and never touch remote exploits in SSH in  the others. That’s why it’s critical to have a way to prioritize these issues by their real risk. Once you’re done with remotes in SSH, you can move to libtiff.</span></p><p class="yiv1197907362MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri", "sans-serif";color:#1F497D;" lang="EN-US">  </span></p><div><div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm;"><p class="yiv1197907362MsoNormal"><b><span
 style="font-size:10.0pt;font-family:"Tahoma", "sans-serif";" lang="EN-US">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma", "sans-serif";" lang="EN-US"> Rohit Pitke [mailto:rohirp92@yahoo.com] <br><b>Sent:</b> Friday, February 01, 2013 8:35 PM<br><b>To:</b> pawel.krawczyk@hush.com; </span><span style="font-size:10.0pt;font-family:"Tahoma", "sans-serif";">websecurity@lists.webappsec.org<br><b>Subject:</b> Re: [WEB SECURITY] Poll: How do you rank the importance of a vulnerability?</span></p></div></div><p class="yiv1197907362MsoNormal">  </p><div><div><p class="yiv1197907362MsoNormal" style="background:white;"><span style="color:black;">I would go for worst case scenario considering the weakest link principle. Also proper threat modelling would be useful to determine scoring for specific vulnerability.  For enterprise level product with ideally no exposure to
 outside network, one might argue that libtiff issue might be of less severity but again it boils down to the context of application in analysis.</span></p></div><div><p class="yiv1197907362MsoNormal"><span style="color:black;">  </span></p></div><div><p class="yiv1197907362MsoNormal"><span style="color:black;">-Rohit</span></p></div><div><p class="yiv1197907362MsoNormal" style="background:white;"><span style="color:black;">  </span></p></div><div><div><div><div class="yiv1197907362MsoNormal" style="text-align:center;background:white;" align="center"><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><hr align="center" size="1" width="100%"></span></div><p class="yiv1197907362MsoNormal" style="background:white;"><b><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US">From:</span></b><span
 style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US"> Paweł Krawczyk <</span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><a rel="nofollow" ymailto="mailto:pawel.krawczyk@hush.com" target="_blank" href="/mc/compose?to=pawel.krawczyk@hush.com"><span lang="EN-US">pawel.krawczyk@hush.com</span></a></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US">><br><b>To:</b> </span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><a rel="nofollow" ymailto="mailto:websecurity@lists.webappsec.org" target="_blank" href="/mc/compose?to=websecurity@lists.webappsec.org"><span lang="EN-US">websecurity@lists.webappsec.org</span></a></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US">
 <br><b>Sent:</b> Thursday, January 31, 2013 11:00 PM<br><b>Subject:</b> Re: [WEB SECURITY] Poll: How do you rank the importance of a vulnerability?</span><span style="color:black;" lang="EN-US"></span></p></div><p class="yiv1197907362MsoNormal" style="background:white;"><span style="color:black;" lang="EN-US"><br><br></span></p><div id="yiv1197907362"><p class="yiv1197907362MsoNormal" style="background:white;"><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;">CVSS is a large step in right direction, away from subjective 1-5 or Low-High scores, but I still have a large practical problem with how it's counted. <span style="background:white;">CVSS has one issue that results in typical reports being flooded by mix of really important and less important vulnerabilities that will be difficult to distinguis even using CVSS subscores. For example consider these two examples: </span></span></p><div><p
 class="yiv1197907362MsoNormal" style="background:white;"><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><br><span style="background:white;">* remote bug in sshd </span></span></p></div><div><p class="yiv1197907362MsoNormal" style="background:white;"><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;background:white;">* bug in libtiff </span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><br><br><span style="background:white;">Let's assume sshd is exploitable over network (AV=N). Let's assume libtiff can be exploited by someone who would need to open a malformed TIFF - but that would also have AV=N because it's assumed the file is delivered over network. This is at least how most of these vulns are classified in Qualys. </span></span></p></div><div><p class="yiv1197907362MsoNormal"
 style="background:white;"><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;">  </span></p></div><div><p class="yiv1197907362MsoNormal" style="background:white;"><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;background:white;">Obviously, the real risk is completely different in each case - sshd just sits there and waits to be exploited, for libtiff you'd need a rather rare opportunity (someone opening TIFFs on server). </span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"></span></p></div><div><p class="yiv1197907362MsoNormal" style="background:white;"><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;">  </span></p></div><div><p class="yiv1197907362MsoNormal" style="background:white;"><span style="font-size:10.0pt;font-family:"Arial",
 "sans-serif";color:black;background:white;">I've once asked CVSS team about this and they replied that this should be theoretically captured by Access Complexity (AC) - for libtiff it AC=H (as you need to use social engineering for example), for sshd AC=L (just go and metasploit over network). </span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"></span></p></div><div><p class="yiv1197907362MsoNormal" style="background:white;"><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;">  </span></p></div><div><p class="yiv1197907362MsoNormal" style="background:white;"><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;background:white;">But in real life scores of both vulns will be very similar. At the end of the day you end up with a report flooded by say 100 issues for each server, out of which
 usually all will be like that libtiff. And you have no way to filter them out to focus on sshd-type vulns because of how the classification is calculated. </span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><br><br></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US">-- <br>Paweł Krawczyk, CISSP<br></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><a rel="nofollow" target="_blank" href="http://ipsec.pl"><span lang="EN-US">http://ipsec.pl</span></a></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"> </span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><a rel="nofollow" target="_blank" href="http://echelon.pl"><span lang="EN-US">http://echelon.pl</span></a></span><span
 style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US"><br>+48 602 776959<br><br>On 1/2/2013 at 12:58 AM, "Robert A." <</span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><a rel="nofollow" ymailto="mailto:robert@webappsec.org" target="_blank" href="/mc/compose?to=robert@webappsec.org"><span lang="EN-US">robert@webappsec.org</span></a></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US">> wrote:</span></p><p class="yiv1197907362MsoNormal" style="background:white;"><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;">Where would you suggest this poll be held? Keep in mind I have no time to <br>create or implement a polling application :)<br><br>- Robert<br><br>On Thu, 31 Jan 2013, MustLive wrote:<br><br>> Hello Robert!<br>><br>>
 It's interesting poll and webappsec professionals and experts could be<br>> interested to participate in the poll. But you've selected not appropriate<br>> place for opening the poll.<br>><br>> You've opened it in LinkedIn. That one, which was hacked last year. This is<br>> social network and none of social networks are attending to security. It's<br>> not the place for polls on web applications security topics ;-). Plus I'm<br>> not using LinkedIn and any s.networks at all (and the poll requires<br>> registration in it).<br>><br>> P.S.<br>><br>> I am agree with Phillip's standpoint.<br></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US">><br>> Best wishes & regards,<br>> Eugene Dokukin aka MustLive<br>> Administrator of Websecurity web site<br>> </span><span style="font-size:10.0pt;font-family:"Arial",
 "sans-serif";color:black;"><a rel="nofollow" target="_blank" href="http://websecurity.com.ua"><span lang="EN-US">http://websecurity.com.ua</span></a></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US"><br>><br>> Robert A. robert at </span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><a rel="nofollow" target="_blank" href="http://webappsec.org/"><span lang="EN-US">webappsec.org</span></a></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US"><br>> Wed Jan 9 18:35:02 EST 2013<br>><br>>> Greetings,<br>>> <br>>> I've added a new poll to the WASC linkedin group that a few of you may be<br>>> interested in. </span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;">Specifically asking how
 people rank the importance of<br>>> vulnerabilities.<br></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US">>> <br>>> Link<br>>> </span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><a rel="nofollow" target="_blank" href="http://www.linkedin.com/groups/How-do-you-rank-importance-83336.S.202840840"><span lang="EN-US">http://www.linkedin.com/groups/How-do-you-rank-importance-83336.S.202840840</span></a></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US"><br>>> <br>>> Regards,<br>>> Robert A.<br>>> WASC Co Founder/Moderator of The Web Security Mailing List<br>>> </span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><a rel="nofollow" target="_blank"
 href="http://www.webappsec.org"><span lang="EN-US">http://www.webappsec.org</span></a></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US">.<br>><br>><br><br>_______________________________________________<br>The Web Security Mailing List<br><br>WebSecurity RSS Feed<br></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><a rel="nofollow" target="_blank" href="http://www.webappsec.org/rss/websecurity.rss"><span lang="EN-US">http://www.webappsec.org/rss/websecurity.rss</span></a></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US"><br><br>Join WASC on LinkedIn </span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><a rel="nofollow" target="_blank" href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA"><span
 lang="EN-US">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</span></a></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US"><br><br>WASC on Twitter<br></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><a rel="nofollow" target="_blank" href="http://twitter.com/wascupdates"><span lang="EN-US">http://twitter.com/wascupdates</span></a></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US"><br><br></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><a rel="nofollow" ymailto="mailto:websecurity@lists.webappsec.org" target="_blank" href="/mc/compose?to=websecurity@lists.webappsec.org"><span lang="EN-US">websecurity@lists.webappsec.org</span></a></span><span style="font-size:10.0pt;font-family:"Arial",
 "sans-serif";color:black;" lang="EN-US"><br></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;"><a rel="nofollow" target="_blank" href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org"><span lang="EN-US">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</span></a></span><span style="font-size:10.0pt;font-family:"Arial", "sans-serif";color:black;" lang="EN-US"></span></p></div></div><p class="yiv1197907362MsoNormal" style="margin-bottom:12.0pt;background:white;"><span style="color:black;" lang="EN-US"><br></span><span style="color:black;">_______________________________________________<br>The Web Security Mailing List<br><br>WebSecurity RSS Feed<br><a rel="nofollow" target="_blank" href="http://www.webappsec.org/rss/websecurity.rss">http://www.webappsec.org/rss/websecurity.rss</a><br><br>Join WASC on LinkedIn <a
 rel="nofollow" target="_blank" href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</a><br><br>WASC on Twitter<br><a rel="nofollow" target="_blank" href="http://twitter.com/wascupdates">http://twitter.com/wascupdates</a><br><br><a rel="nofollow" ymailto="mailto:websecurity@lists.webappsec.org" target="_blank" href="/mc/compose?to=websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a><br><a rel="nofollow" target="_blank" href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a><br><br></span></p></div></div></div></div></div></div><br>-----Inline Attachment Follows-----<br><br><div class="plainMail">_______________________________________________<br>The Web Security Mailing List<br><br>WebSecurity RSS Feed<br><a href="http://www.webappsec.org/rss/websecurity.rss"
 target="_blank">http://www.webappsec.org/rss/websecurity.rss</a><br><br>Join WASC on LinkedIn <a href="http://www.linkedin.com/e/gis/83336/4B20E4374DBA" target="_blank">http://www.linkedin.com/e/gis/83336/4B20E4374DBA</a><br><br>WASC on Twitter<br><a href="http://twitter.com/wascupdates" target="_blank">http://twitter.com/wascupdates</a><br><br><a ymailto="mailto:websecurity@lists.webappsec.org" href="/mc/compose?to=websecurity@lists.webappsec.org">websecurity@lists.webappsec.org</a><br><a href="http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org" target="_blank">http://lists.webappsec.org/mailman/listinfo/websecurity_lists.webappsec.org</a><br></div></blockquote></td></tr></table>