Vulnerability

Eine Schwachstelle, die durch Bedrohungen ausgenutzt werden kann. Im OSSTMM die schwerwiegendste Kategorie in der Sicherheitsbewertung. Eine Vulnerability entsteht durch Fehler in Software, fehlerhafte Konfiguration oder unsichere Implementierungen—etwa Pufferüberläufe, fehlende Authentifizierungsprüfungen, veraltete Bibliotheken oder Default-Settings. Im OSSTMM-Rahmen wird eine Vulnerability als kritischer Zustand definiert, bei dem ein direkter Exploit-Pfad existiert. Klassische Kategorien umfassen Injection-Angriffe, unsichere Deserialisierung, Directory Traversal, Privilege Escalation und Insecure Permissions. Die Identifikation erfolgt durch kombinierte Methoden: dynamische Scans (DAST), statische Analysen (SAST), manuelle Code-Reviews und Penetrationstests. Die Risikobewertung nutzt Metriken wie CVSS (Common Vulnerability Scoring System), die Exploitability, Impact (Confidentiality, Integrity, Availability) und öffentliche Exploit-Verfügbarkeit berücksichtigen. Patches und Konfigurationsänderungen priorisieren nach Schweregrad (High, Critical) und werden zeitnah ausgerollt, um Angreifern keinen Fensterspalt zu eröffnen.