تحديد العيوب بشكل منهجي

تقييم الثغرات (Vulnerability Assessment) هو عملية تحديد وقياس وترتيب أولويات الثغرات (نقاط الضعف) في النظام.

الثغرة مقابل الاستغلال

• الثغرة (Vulnerability): نقطة ضعف في النظام (مثلاً 'خادم الويب يشغل برنامجاً قديماً').
• الاستغلال (Exploit): كود أو سلسلة من الأوامر تستفيد من الثغرة لإحداث سلوك غير مقصود (مثلاً 'الكود الذي يعطل خادم الويب القديم ويعطيني صلاحيات وصول shell').

تقييم الثغرات (CVSS)

نحتاج لترتيب أولويات الإصلاحات. يوفر نظام تقييم الثغرات الشائع (CVSS) طريقة قياسية لحساب شدة ثغرات أنظمة الكمبيوتر (الدرجات من 0.0 إلى 10.0).

• حرجة (9.0-10.0): تتطلب اهتماماً فورياً.
• عالية (7.0-8.9): تتطلب معالجة ذات أولوية عالية.

تقوم ماسحات الثغرات بأتمتة هذه العملية، ومقارنة الخدمات/الإصدارات المكتشفة بقواعد بيانات CVE (الثغرات والتعرضات الشائعة) المعروفة.