Quali vulnerabilità sono abbastanza comuni da diventare CVE? È collegato solo alle "applicazioni" o sono accettati anche siti Web? Una vulnerabilità in un sito Web impopolare (o un servizio locale) è considerata abbastanza comune?
Dalle domande frequenti su CVE :
An information security vulnerability is a mistake in software that can be directly used by a hacker to gain access to a system or network. See the Terminology page for a complete explanation of how this term is used on the CVE Web site.
The intention of CVE is to be comprehensive with respect to all publicly known vulnerabilities and exposures. While CVE is designed to contain mature information, our primary focus is on identifying vulnerabilities and exposures that are detected by security tools and any new problems that become public.
Se un sito web individuale è stato violato, è improbabile che i proprietari del sito Web diventino pubblicamente noti. Se avessero reso pubblici i dettagli, e avesse influenzato solo il loro software proprietario, sarebbe di scarso valore per il pubblico. Se la vulnerabilità era nel software utilizzato e prodotto da qualche fornitore (aperto o chiuso), allora è probabile che potrebbe essere un CVE.
Se un sito Web viene violato, ciò potrebbe non essere il risultato di un attacco di tipo CVE, ma forse il più generico Common Weakness Enumeration (CWE ). Ad esempio, se un sito è stato violato da SQL injection o XSS, la stringa specifica non sarebbe probabilmente un CVE, ma potrebbe essere classificata in CWE.
Se stai cercando dettagli sugli attacchi specifici al sito web, ti consigliamo di cercare i rapporti sulle violazioni, come i Dati di Clearinghouse sui diritti della privacy Elenco di violazioni .
Il modo migliore per testare questo è cercare di inviare la tua ricerca e vedere cosa vuole fare la comunità CVE nel processo di revisione.
La mia comprensione è che i problemi che riguardano singoli siti Web (ad esempio, un XSS su Facebook) non sono idonei per un CVE, anche se le applicazioni web lo sono. Quindi, un problema che riguarda solo Facebook non lo è, ma sarebbe un problema in un'applicazione web come WordPress.
L'applicazione non deve essere popolare - ho richiesto una volta un CVE per un'applicazione che probabilmente ha meno di 1.000 utenti.
Puoi richiedere un CVE direttamente da Mitra o (per software open source) tramite oss-security mailing list - se c'è un problema o se il problema non è idoneo, ti farò sapere.
Esistono altri gruppi come OSVDB che tracciano una gamma più ampia di problemi; anche se non credo che tengano traccia dei problemi anche in specifici siti web.
I CVE sono per vulnerabilità nel software che viene spedito e poi consumato, non per vulnerabilità nei servizi (ad esempio siti Web). Quindi, se una vulnerabilità nel servizio (ad esempio un sito Web) si trova in qualcosa che è ampiamente disponibile come pacchetto software (ad esempio un difetto che è alla radice in Apache, o in PHP o WordPress per esempio), allora il difetto all'interno di quel pacchetto software sarebbe ottenere un CVE.
Se la falla si trova in un servizio che è un software scritto personalizzato che non è disponibile per il download (ad esempio Amazon, eBay, ecc.), tale vulnerabilità non ottiene un CVE.
In definitiva, l'obiettivo di CVE è fornire un identificatore per una vulnerabilità in modo che quando più organizzazioni (ad esempio il giornalista e l'upstream e la comunità che lo utilizza) debbano discutere della vulnerabilità, possono essere tutte sicure che stanno effettivamente parlando la stessa cosa.
Per amor di precisione, ora hanno pubblicato quali venditori / software sono interessati a loro per il CVE: Prodotti CVE coperti
Leggi altre domande sui tag cve