Come funzionano i rapporti sulle vulnerabilità?

Esistono diverse organizzazioni che gestiscono database di vulnerabilità. Il NVD di NIST è probabilmente l'IMO più notevole

link

I CVE sono difetti del software - Enumerazione delle vulnerabilità comuni, ma ci sono anche altri prefissi usati, come CCE per le enumerazioni di configurazione comuni - che sono problemi di errata configurazione come le password predefinite facilmente indovinate e le porte esposte per impostazione predefinita ecc.

CVE è il più vicino a un database centrale, sebbene si descrivano come "un dizionario, non un database".

L'obiettivo è fornire un identificativo univoco per ogni problema di sicurezza noto. Prima del CVE c'era spesso confusione perché venivano usati i nomi, quindi uno strumento di scansione di rete poteva riportare "Il sovraccarico del buffer in Servizio Windows Server", mentre un altro segnalava "Esecuzione del codice in Windows". CVE risolve questo problema assegnando a ciascun problema un identificatore univoco come CVE-2008-4250. L'adozione di CVE è quasi universale: quasi tutti i venditori e i ricercatori contatteranno CVE per ottenere un numero univoco prima di emettere un avviso. Una cosa di cui essere consapevoli è che non è completamente universale.

Un numero CVE corrisponde a una vulnerabilità nota in un particolare software commerciale o open source. Quindi, "cross-site scripting" è un problema generico e non ha il proprio CVE (in realtà, questo è ciò che CWE è per). Ma "cross-site scripting in Apache Roller" otterrebbe un CVE. Le vulnerabilità nel software su misura (ad esempio XSS in Facebook) normalmente non ricevono un CVE.

CVE non è un database dettagliato. Il database contiene una breve descrizione e riferimenti ad altri database. Per informazioni più dettagliate, le buone fonti sono: Security Focus, Secunia, NIST e gli avvisi del fornitore del software. Se stai cercando exploit allora Metasploit e Exploit DB sono dei buoni posti.