Open exploit database, con dati strutturati (nome CMS, versione, ecc.)

Naviga le tue risposte
3

Per un'app di sicurezza web su cui sto lavorando, voglio elencare tutti gli exploit di una determinata versione di Wordpress. (e si spera lo stesso per altri CMS)

Ho trovato alcuni database di exploit (aperti) che elencano questo tipo di exploit:

Sfortunatamente, il loro database degli exploit non è veramente strutturato ( EDIT : in realtà il Database delle vulnerabilità nazionale è la soluzione perfetta per ciò che volevamo, controlla la mia risposta sotto) . CVEDetails offre exploit per applicazione, ma è difficile ottenere il numero di versione da quello; Inoltre non danno accesso ad alcuni database strutturati (XML, JSON, ...) o API per recuperare facilmente gli exploit. Il "National Vulnerability Database" non fornisce dettagli su quali app e versioni sono vulnerabili.

Dove posso trovare alcuni database di exploit aperti (e gratuiti per uso commerciale)

    
posta halflings 10.06.2013 - 15:11
fonte

4 risposte

1

Abbiamo finito per utilizzare il NVD (database nazionale Vunlnerability) che si basa sul SCAP protocollo per automatizzare il recupero di vulnerabilità in base a un CPE id (ad esempio, l' CPE id di Joomla! 7.1 beta1 sarebbe: cpe:/a:joomla:joomla%21:7.1:beta1 ).

Il loro database è molto esteso e fornisce CVE id e CVSS per ogni exploit.

    
risposta data 22.07.2013 - 14:53
fonte
6

Utilizza il database CVE stesso. Hanno un XML strutturato in cui puoi estrarre tutte le vulnerabilità che desideri.

    
risposta data 10.06.2013 - 15:20
fonte
4

Il OSVDB fornisce un'API per esattamente questo genere di cose. È gratuito ma limitato a 2 query al giorno per uso non commerciale. Dovrai pagare una licenza se vuoi più di questo.

In passato hanno anche fornito dump di database in vari formati, ma non sono sicuro che lo facciano ancora.

Una parola sull'uso gratuito per uso commerciale: non importa da dove ricevi le informazioni sulla vulnerabilità, probabilmente scoprirai che se il tuo prodotto ha successo, sarai contattato con una richiesta di denaro o le richieste dei tuoi clienti verrà improvvisamente bloccato.

Devi pianificare di conseguenza.

    
risposta data 12.06.2013 - 12:47
fonte
0

Sembra che l'unico modo per usare i database sia analizzare le pagine dei risultati HTML. cvedetails sembra il sito meglio strutturato per questo, ma ancora difficile ottenere ID prodotto e versione

    
risposta data 04.09.2013 - 14:26
fonte

Leggi altre domande sui tag

Implementazione di riferimento per l'ECS di Shoup? Come si calcola il contatore di sequenza TSC (TKIP) in WPA?