Valutazioni della vulnerabilità - Tassonomie di vulnerabilità?

Naviga le tue risposte
8

Tutti,

Prima domanda qui, quindi per favore sii il più gentile possibile: -)

Mi sono guardato intorno per trovare scritti o documenti su uno standard per classificare le vulnerabilità. Non da un punto di vista di severità / rischio / impatto ma categorizzazione come raggruppare tutte le "patch mancanti", "gestione debole dell'autenticazione", regole di uscita / ingresso per reti e simili. Ora so che molte persone hanno già fatto questo lavoro, me incluso. Quello che mi interessa sapere è se qualcuno ha fatto qualcosa su un piano più formale / standard?

Una lunga domanda, tutte le risposte sono state accolte calorosamente.

    
posta IC3N1 05.06.2011 - 13:24
fonte

2 risposte

6

MITER ha alcuni sistemi per questo. CVE per cose che necessitano di patch; CWE per bug che devono essere evitati / risolti, CAPEC che descrive gli attacchi alla tua infrastruttura; CCE per esigenze di configurazione; CPE per uno schema di denominazione adeguato; e CEE per informazioni sullo scambio di eventi.

link

Troverai link ad altre risorse che funzionano con gli standard di MITER o sono di natura simile a loro.

    
risposta data 05.06.2011 - 19:20
fonte
2

La top 10 categorizzazione OWASP è esattamente questo tipo di cose. Certo, hanno scelto di ridurre drasticamente l'ambito ai soli dieci tipi di attacco migliori.

    
risposta data 05.06.2011 - 16:28
fonte

Leggi altre domande sui tag

Il metodo di connessione Internet influisce sulla sicurezza della rete? Come selezionare / dev / random o dev / urandom nel codice in Android?