quale sito usi per visualizzare i dettagli delle vulnerabilità? [chiuso]

19

Quale sito / siti utilizzi per visualizzare i dettagli delle vulnerabilità della sicurezza?

    
posta Nathan B. 19.12.2010 - 20:26
fonte

7 risposte

12

Tendo ad iniziare con link per vulns per prodotto o venditore, scegli i riferimenti CVE da lì e poi visualizza i dettagli su link

    
risposta data 19.12.2010 - 23:14
fonte
10

Sto indovinando da quando hai fatto questa domanda, trovi che frequentemente ti stia addormentando per trovare una buona descrizione della vulnerabilità. Lo odio quando rimango bloccato a rincorrere i dettagli di un singolo vuln quando ci sono 100 o 1000 di vulns aggiuntivi in gioco.

Le mie fonti preferite sono i fornitori che gestiscono siti di consulenza decenti, come:

Red Hat: https://access.redhat.com/security/updates/active/
Microsoft: http://www.microsoft.com/technet/security/current.aspx
Apache: http://httpd.apache.org/security_report.html
...

Se il vuln è uno che ho scoperto dal cercare un'app Web, mi piace prendere in prestito le descrizioni delle vulnerabilità di OWASP - in effetti, il Top 10 di OWASP per il PDF è particolarmente utile per fare riferimento o copiare i report perché è bello:
< a href="http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf"> link

Se ha qualcosa a che fare con un server SSL, SSL Labs è fantastico: link
(w / descrizione del punteggio: link )

E naturalmente la maggior parte degli scanner di vulnerabilità commerciali premium offre una buona cache delle descrizioni delle vulnerabilità (ad es. link o < a href="http://www.qualys.com/"> Qualys (serve un account))

Oltre a ciò, a volte il tentativo di raccogliere i dettagli della vulnerabilità per una particolare vulnerabilità al fornitore è efficace se si dispone di un contratto di supporto.

    
risposta data 20.12.2010 - 01:21
fonte
10

Io uso primariamente

  • Exploit-DB - Solitamente lo uso per exploit web (come un nuovo hack di Joomla o qualcosa di simile)
  • Database vulnerabilità Open-Source - Eccellente per tutti i tipi di prodotti. Ho trovato un po 'vecchio. ma hack eccellenti su questa pagina
  • Secunia - Per la ricerca
  • Microsoft Technet - Per ulteriori informazioni sugli ultimi problemi Microsoft
  • Google Reader - Mi iscrivo a molti feed RSS. Se ti connetti a un feed che ritieni interessante, Google ti aiuta a trovare feed simili in cui è correlato.

Inoltre, di solito è utile visitare la homepage del fornitore se stai cercando eventuali problemi che le tue app potrebbero avere. Solitamente pubblicano degli avvisi in cui mostrano quali sono i problemi più critici.

    
risposta data 20.12.2010 - 07:10
fonte
6

Preferisco usare i siti dei venditori per la maggior parte delle informazioni. Poiché sono spesso più interessato a sapere se esiste una patch o una soluzione alternativa, le trovo molto utili.

Quando il sito del venditore non è del tutto utile, cioè non ci sono patch / soluzioni e abbiamo ancora bisogno di determinare quale livello di controlli di compensazione sono necessari, io tendo ad usare quanto segue (in ordine)

  1. Database nazionale delle vulnerabilità
  2. Secunia
  3. exploit-db
risposta data 20.12.2010 - 04:36
fonte
4

Alcune altre fonti che offrono sempre exploit praticabili o articoli tecnici approfonditi su molte cose buone:

  • link - altamente tecnico, spingendo i limiti di sicurezza
  • link -utilizzato essere grandiosi - non ne sono più sicuro se è suo in alto, un sacco di 0 giorni
  • link
  • link era solito amare questo sito.
  • link - A volte hai degli articoli fantastici

Inoltre, guarda questo post su securitytube:

link

    
risposta data 22.12.2010 - 22:06
fonte
2

Essendo in Application Security, il sito web che uso più frequentemente è Fortify Software

Questo sito non fornisce solo una spiegazione per quale sia la categoria di vulnerabilità e come possa essere utilizzata maliziosamente, ma spesso fornisce esempi di codice di buone e cattive pratiche per una data vulnerabilità nella lingua scelta.

Questo sito è più direttamente correlato al codice sorgente, tuttavia, anche per le spiegazioni di base sulla vulnerabilità del web, sicuramente fa il trucco e mi ha aiutato immensamente nel cercare di comunicare a un cliente qual è esattamente la vulnerabilità e allo stesso tempo fornire esempi per gli sviluppatori per la correzione.

    
risposta data 20.12.2010 - 18:43
fonte
1

link

Ho trovato questo sito SecurityFocus con un buon database di articoli. Tutti però a volte hai bisogno di sapere cosa stai cercando prima di poter trovare qualcosa di solido.

Ad esempio, se cerchi vulnerabilità su Adobe Reader ci sono 0; se apri Adobe Acrobat, ci sono dozzine che dicono Adobe Reader.

    
risposta data 04.01.2011 - 22:06
fonte