Question:
quel site utilisez-vous pour afficher les détails des vulnérabilités?
Nathan B.
2010-12-20 01:26:33 UTC
view on stackexchange narkive permalink

Quels sites utilisez-vous pour afficher les détails des failles de sécurité?

Merci à tous pour vos réponses. Toutes les réponses semblent vraiment utiles.
Voir aussi http://security.stackexchange.com/questions/829/how-to-keep-an-eye-on-upgrades-patches-and-security-issues-for-used-open-source
Sept réponses:
#1
+12
Rory McCune
2010-12-20 04:14:22 UTC
view on stackexchange narkive permalink

J'ai tendance à commencer par http://secunia.com pour les vulns par produit ou par fournisseur, choisir les références CVE à partir de là, puis afficher les détails sur http: // www.cvedetails.com

Accepté celui-ci car cvedetails.com semble assez utile et fournit des liens vers des détails de définition OVAL qui ne sont pas disponibles sur d'autres sites
cvedetails.com semble très obsolète.Voir, par exemple, https://www.cvedetails.com/vulnerability-feed.php?vendor_id=11353&product_id=20601&version_id=0&orderby=1&cvssscoremin=0 qui ne répertorie pas par exemplehttps://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-1899
#2
+10
Tate Hansen
2010-12-20 06:21:04 UTC
view on stackexchange narkive permalink

Je suppose que depuis que vous avez posé cette question, vous trouvez souvent fastidieux de trouver de bonnes descriptions de vulnérabilités. Je déteste quand je suis coincé à traquer les détails d'une seule vuln alors qu'il y a des centaines ou des milliers de vulns supplémentaires en jeu.

Mes sources préférées sont les fournisseurs qui gèrent des sites de conseils décents, comme:

Red Hat: https://access.redhat.com/security/updates/active/
Microsoft: http://www.microsoft. com / technet / security / current.aspx
Apache: http://httpd.apache.org/security_report.html
...

Si le vuln est celui que j'ai découvert en sondant une application Web, j'aime emprunter les descriptions de vulnérabilité de OWASP - en fait, le Top 10 de l'OWASP pour 2010 PDF est particulièrement agréable pour le référencement ou la copie de rapports car il est joli:
http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf

S'il s'agit de quelque chose à voir avec un serveur SSL, alors SSL Labs est génial: https://www.ssllabs.com/
(avec description de la notation: https://www.ssllabs.com/downloads/SSL_Server_Rating_Guide_2009.pdf)

Et de Bien sûr, la plupart des scanners de vulnérabilités commerciaux premium offrent de bons caches de descriptions de vulnérabilités http://www.rapid7.com/vulndb/index.jsp ou Qualys (besoin d'un compte))

Au-delà, parfois pousser le l'effort de collecte des détails de vulnérabilité pour une vulnérabilité particulière auprès du fournisseur est efficace si vous avez un contrat de support.

#3
+10
Chris Dale
2010-12-20 12:10:33 UTC
view on stackexchange narkive permalink

J'utilise principalement

  • Exploit-DB - Habituellement, je l'utilise pour des exploits Web (comme un nouveau hack Joomla, ou quelque chose de similaire)
  • Base de données de vulnérabilités Open-Source - Excellent pour toutes sortes de produits. J'ai trouvé du vieux. mais d'excellents hacks sur cette page
  • Secunia - Pour la recherche
  • Microsoft Technet - Pour plus d'informations sur les derniers problèmes de Microsoft
  • Google Reader - Je m'abonne à de nombreux flux RSS. Si vous vous connectez à un flux que vous trouvez intéressant, Google vous aide à trouver des flux similaires dans lesquels il est associé.

De plus, il est généralement avantageux de visiter la page d'accueil du fournisseur si vous recherchez un problème vos applications pourraient faire. Ils publient généralement des avis dans lesquels ils vous indiquent quels sont les problèmes les plus critiques.

Je * continue * d'oublier l'OSVDB. C'est une excellente ressource.
#4
+6
Scott Pack
2010-12-20 09:36:21 UTC
view on stackexchange narkive permalink

Je préfère utiliser les sites des fournisseurs pour la plupart des informations. Étant donné que je suis souvent plus intéressé par l'existence ou non d'un correctif ou d'une solution de contournement, je les trouve très utiles.

Lorsque le site du fournisseur n'est pas entièrement utile, c'est-à-dire qu'il n'y a pas de correctif / solution de contournement et que nous besoin de déterminer le niveau de contrôle compensatoire nécessaire, j'ai tendance à utiliser les éléments suivants (dans l'ordre)

  1. Base de données nationale sur les vulnérabilités
  2. Secunia
  3. exploit-db
#5
+4
Troy Rose
2010-12-23 03:06:33 UTC
view on stackexchange narkive permalink

D'autres sources qui proposent toujours soit des exploits exploitables, soit des articles techniques approfondis sur de nombreuses bonnes choses:

Consultez également cet article sur securitytube:

http://questions.securitytube.net/questions/308/milw0rm-com-replacement

#6
+2
Purge
2010-12-20 23:43:25 UTC
view on stackexchange narkive permalink

Étant dans la sécurité des applications, le site Web que j'utilise le plus fréquemment est Fortify Software

Ce site ne donne pas seulement une explication de la catégorie de vulnérabilité et de la manière dont elle peut être utilisée malicieusement, il donnera fréquemment des exemples de code de bonnes et de mauvaises pratiques pour une vulnérabilité donnée dans la langue de votre choix.

Ce site est plus directement lié au code source, mais même pour les explications de base sur les vulnérabilités Web, il le fait définitivement l'astuce, et m'a énormément aidé en essayant de communiquer à un client quelle est exactement la vulnérabilité, et en même temps de fournir des exemples aux développeurs pour la correction.

#7
+1
SaUce
2011-01-05 03:06:53 UTC
view on stackexchange narkive permalink

http://www.securityfocus.com

J'ai trouvé que ce site SecurityFocus avait une bonne base de données d'articles. Mais parfois, vous devez savoir ce que vous recherchez avant de trouver quelque chose de solide.

Par exemple, si vous recherchez des vulnérabilités sur Adobe Reader, il y en a 0; si vous tirez sur Adobe Acrobat, il y en a des dizaines qui disent Adobe Reader.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 2.0 sous laquelle il est distribué.
Loading...