Domanda:
quale sito utilizzi per visualizzare i dettagli delle vulnerabilità?
Nathan B.
2010-12-20 01:26:33 UTC
view on stackexchange narkive permalink

Quale sito / siti utilizzate per visualizzare i dettagli delle vulnerabilità di sicurezza?

Grazie a tutti per le vostre risposte. Tutte le risposte sembrano davvero utili.
Vedi anche http://security.stackexchange.com/questions/829/how-to-keep-an-eye-on-upgrades-patches-and-security-issues-for-used-open-source
Sette risposte:
#1
+12
Rory McCune
2010-12-20 04:14:22 UTC
view on stackexchange narkive permalink

Tendo a iniziare con http://secunia.com per i vulns per prodotto o fornitore, prendo i riferimenti CVE da lì e poi visualizzo i dettagli su http: // www.cvedetails.com

Accettato questo poiché cvedetails.com sembra piuttosto utile e fornisce collegamenti ai dettagli delle definizioni OVAL che non sono disponibili su altri siti
cvedetails.com sembra decisamente obsoleto.Vedi, ad esempio, https://www.cvedetails.com/vulnerability-feed.php?vendor_id=11353&product_id=20601&version_id=0&orderby=1&cvssscoremin=0 che non elenca ad es.https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1899
#2
+10
Tate Hansen
2010-12-20 06:21:04 UTC
view on stackexchange narkive permalink

Immagino che da quando hai posto questa domanda trovi spesso sconcertante trovare descrizioni valide delle vulnerabilità. Odio quando rimango bloccato a inseguire i dettagli di un singolo vuln quando ci sono centinaia o migliaia di vuln aggiuntivi in ​​gioco.

Le mie fonti preferite sono i fornitori che gestiscono siti di consulenza decenti, come:

Red Hat: https://access.redhat.com/security/updates/active/
Microsoft: http://www.microsoft. com / technet / security / current.aspx
Apache: http://httpd.apache.org/security_report.html
...

Se il vuln è uno che ho scoperto sondando un'app Web, mi piace prendere in prestito le descrizioni delle vulnerabilità di OWASP - in effetti, il PDF Top 10 di OWASP per il 2010 è particolarmente utile per fare riferimento o copiare per i rapporti perché è carino:
http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf

Se ha a che fare con un server SSL, allora SSL Labs è fantastico: https://www.ssllabs.com/
(con descrizione del punteggio: https://www.ssllabs.com/downloads/SSL_Server_Rating_Guide_2009.pdf)

E di Ovviamente la maggior parte degli scanner di vulnerabilità commerciali premium offre buone cache delle descrizioni delle vulnerabilità (ad es. http://www.rapid7.com/vulndb/index.jsp o Qualys (è necessario un account)

Oltre a ciò, a volte spingendo il lo sforzo per raccogliere i dettagli della vulnerabilità per una particolare vulnerabilità per il fornitore è efficace se si dispone di un contratto di supporto.

#3
+10
Chris Dale
2010-12-20 12:10:33 UTC
view on stackexchange narkive permalink

Uso principalmente

  • Exploit-DB - Di solito lo uso per exploit web (come un nuovo hack di Joomla o qualcosa di simile)
  • Database delle vulnerabilità open source: eccellente per tutti i tipi di prodotti. Ne ho trovati alcuni vecchi. ma ottimi hack su questa pagina
  • Secunia - Per la ricerca
  • Microsoft Technet - Per qualche lettura extra sugli ultimi problemi di Microsoft
  • Google Reader: mi iscrivo a molti feed RSS. Se ti colleghi a un feed che ritieni interessante, Google ti aiuta a trovare feed simili in cui è correlato.

Inoltre, di solito conviene visitare la home page del fornitore se stai cercando problemi le tue app potrebbero fare. Di solito pubblicano avvisi in cui mostrano quali sono i problemi più critici.

* Continuo * a dimenticarmi di OSVDB. È una grande risorsa.
#4
+6
Scott Pack
2010-12-20 09:36:21 UTC
view on stackexchange narkive permalink

Preferisco utilizzare i siti dei fornitori per la maggior parte delle informazioni. Dato che spesso sono più interessato a sapere se esista o meno una patch o una soluzione alternativa, le trovo molto utili.

Quando il sito del fornitore non è del tutto utile, cioè non c'è patch / soluzione bisogno di determinare quale livello di compensazione è necessario, tendo a utilizzare quanto segue (in ordine)

  1. National Vulnerability Database
  2. Secunia
  3. exploit-db
#5
+4
Troy Rose
2010-12-23 03:06:33 UTC
view on stackexchange narkive permalink

Altre fonti che offrono sempre exploit realizzabili o articoli tecnici approfonditi su molte cose buone:

Inoltre, guarda questo post su securitytube:

http://questions.securitytube.net/questions/308/milw0rm-com-replacement

#6
+2
Purge
2010-12-20 23:43:25 UTC
view on stackexchange narkive permalink

Essendo in Application Security, il sito web che utilizzo più frequentemente è Fortify Software

Questo sito non solo fornisce una spiegazione di quale sia la categoria di vulnerabilità e di come può essere utilizzata maliziosamente, fornisce spesso esempi di codice di buone e cattive pratiche per una data vulnerabilità nella tua lingua preferita.

Questo sito è più direttamente correlato al codice sorgente, tuttavia anche per le spiegazioni di base della vulnerabilità web lo fa sicuramente il trucco e mi ha aiutato immensamente quando ho cercato di trasmettere a un cliente qual è esattamente la vulnerabilità e allo stesso tempo fornire esempi agli sviluppatori per la correzione.

#7
+1
SaUce
2011-01-05 03:06:53 UTC
view on stackexchange narkive permalink

http://www.securityfocus.com

Ho scoperto che questo sito SecurityFocus ha un buon database di articoli. Tuttavia a volte devi sapere cosa stai cercando prima di poter trovare qualcosa di solido.

Ad esempio, se cerchi vulnerabilità su Adobe Reader ce ne sono 0; se apri Adobe Acrobat, ce ne sono dozzine che dicono Adobe Reader.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...