Come funzionano i rapporti sulle vulnerabilità?

2

Sono molto interessato alla sicurezza IT e vorrei sapere come funzionano i rapporti sulle vulnerabilità.

Esiste un database centrale per queste cose? Vedo spesso CVE-XXX-XXX sulle divulgazioni, ma non capisco molto bene come funzioni la numerazione e quale database tenga le informazioni su quel rapporto.

Che cosa si dovrebbe fare per pubblicare un nuovo rapporto sulle vulnerabilità su Internet?

    
posta user37390 16.01.2014 - 16:53
fonte

2 risposte

1

Esistono diverse organizzazioni che gestiscono database di vulnerabilità. Il NVD di NIST è probabilmente l'IMO più notevole

link

I CVE sono difetti del software - Enumerazione delle vulnerabilità comuni, ma ci sono anche altri prefissi usati, come CCE per le enumerazioni di configurazione comuni - che sono problemi di errata configurazione come le password predefinite facilmente indovinate e le porte esposte per impostazione predefinita ecc.

    
risposta data 16.01.2014 - 17:50
fonte
0

CVE è il più vicino a un database centrale, sebbene si descrivano come "un dizionario, non un database".

L'obiettivo è fornire un identificativo univoco per ogni problema di sicurezza noto. Prima del CVE c'era spesso confusione perché venivano usati i nomi, quindi uno strumento di scansione di rete poteva riportare "Il sovraccarico del buffer in Servizio Windows Server", mentre un altro segnalava "Esecuzione del codice in Windows". CVE risolve questo problema assegnando a ciascun problema un identificatore univoco come CVE-2008-4250. L'adozione di CVE è quasi universale: quasi tutti i venditori e i ricercatori contatteranno CVE per ottenere un numero univoco prima di emettere un avviso. Una cosa di cui essere consapevoli è che non è completamente universale.

Un numero CVE corrisponde a una vulnerabilità nota in un particolare software commerciale o open source. Quindi, "cross-site scripting" è un problema generico e non ha il proprio CVE (in realtà, questo è ciò che CWE è per). Ma "cross-site scripting in Apache Roller" otterrebbe un CVE. Le vulnerabilità nel software su misura (ad esempio XSS in Facebook) normalmente non ricevono un CVE.

CVE non è un database dettagliato. Il database contiene una breve descrizione e riferimenti ad altri database. Per informazioni più dettagliate, le buone fonti sono: Security Focus, Secunia, NIST e gli avvisi del fornitore del software. Se stai cercando exploit allora Metasploit e Exploit DB sono dei buoni posti.

    
risposta data 17.01.2014 - 00:10
fonte

Leggi altre domande sui tag