it-swarm-es.com

¿Qué sitio utiliza para ver los detalles de las vulnerabilidades?

¿Qué sitio/sitios utilizan para ver los detalles de las vulnerabilidades de seguridad?

19
Nathan B.

Tiendo a comenzar con http://secunia.com para vulns por producto o proveedor, seleccione las referencias de CVE desde allí y luego vea los detalles en http: // www. cvedetails.com

12
Rory McCune

Supongo que, dado que hizo esta pregunta, a menudo le resulta abrumador encontrar buenas descripciones de vulnerabilidades. Odio cuando me quedo atascado persiguiendo los detalles de un solo vuln cuando hay cientos o miles de vulns adicionales en juego.

Mis fuentes favoritas son los proveedores que tienen sitios de asesoría decentes, como:

Red Hat: https://access.redhat.com/security/updates/active/
Microsoft: http://www.Microsoft.com/technet/security/current.aspx
Apache: http://httpd.Apache.org/security_report.html
...

Si el vuln es uno que descubrí al sondear una aplicación web, entonces me gusta tomar prestadas las descripciones de vulnerabilidades de OWASP; de hecho, el Top 10 de OWASP para 2010 PDF es especialmente bueno para hacer referencia o copiar para informes porque es bonita:
http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf

Si tiene algo que ver con un servidor SSL, SSL Labs es genial: https://www.ssllabs.com/
(con descripción de la puntuación: https://www.ssllabs.com/downloads/SSL_Server_Rating_Guide_2009.pdf )

Y, por supuesto, la mayoría de los escáneres de vulnerabilidades comerciales premium ofrecen buenos cachés de descripciones de vulnerabilidades (por ejemplo, http://www.rapid7.com/vulndb/index.jsp o Qualys ( necesito una cuenta))

Más allá de eso, a veces impulsar el esfuerzo de recopilar los detalles de la vulnerabilidad para una vulnerabilidad particular al proveedor es efectivo si tiene un contrato de soporte.

10
Tate Hansen

Prefiero utilizar los sitios de los proveedores para obtener la mayor parte de la información. Dado que a menudo estoy más interesado en si existe o no un parche o una solución alternativa, los encuentro muy útiles.

Cuando el sitio del proveedor no es del todo útil, es decir, no hay parche/solución alternativa y aún tenemos que determinar qué nivel de controles de compensación son necesarios, tiendo a usar lo siguiente (en orden)

  1. Base de datos nacional de vulnerabilidades
  2. Secunia
  3. exploit-db
6
Scott Pack

Algunas otras fuentes que siempre ofrecen exploits viables o artículos técnicos detallados sobre muchas cosas buenas:

Además, vea esta publicación en securitytube:

http://questions.securitytube.net/questions/308/milw0rm-com-replacement

4
Troy Rose

Al estar en Seguridad de aplicaciones, el sitio web que uso con más frecuencia es Fortify Software

Este sitio no solo brinda una explicación de qué es la categoría de vulnerabilidad y cómo se puede usar de manera maliciosa, sino que con frecuencia brinda ejemplos de código de buenas y malas prácticas para una vulnerabilidad determinada en el idioma que elija.

Este sitio está más directamente relacionado con el código fuente, sin embargo, incluso para las explicaciones básicas de vulnerabilidades web, definitivamente funciona, y me ha ayudado enormemente a la hora de intentar transmitir a un cliente cuál es exactamente la vulnerabilidad y, al mismo tiempo, proporcionar ejemplos al desarrolladores para su corrección.

2
Purge

http://www.securityfocus.com

Encontré que este sitio SecurityFocus tiene una buena base de datos de artículos. Aunque a veces necesitas saber lo que buscas antes de poder encontrar algo sólido.

Por ejemplo, si busca vulnerabilidades en Adobe Reader, hay 0; si abre Adobe Acrobat, hay docenas que dicen Adobe Reader.

1
SaUce