Vulnerablity cuenta por plataforma

3

Se me ha pedido que compile una lista del número de vulnerabilidades o vulnerabilidades web publicadas agrupadas por plataforma.

Con el entendimiento y la advertencia de que los números son solo estadísticas, no deben usarse para predecir el futuro, son totalmente injustos, son peores que las mentiras y las malditas mentiras, y probablemente matarán a su gato, etc., etc. : ¿Existen estos números en algún lugar? ¿Cómo se puede compilar tal lista?

  

Mi intento
  Pensé que la base de datos CVE era un buen lugar para comenzar; puede descargar su base de datos completa en formato CSV y luego solo grep it. Lo que parecía bastante razonable, excepto que parece que no hay suficientes datos en cada fila.

     

Por ejemplo, de los 59 CVE de este año que mencionan "Wordpress", hay 14 que no contienen las letras "php". Así que claramente grepping para "php" no obtendrá el resultado correcto. Probablemente ninguno de los otros lo hará.

Los datos no tienen que ser perfectos, solo tienen que estar razonablemente justificados (es decir, no sacados de su derriere ), y lo más importante es que la medición debe ser neutral (es decir, no debería es obvio que no favorece ni penaliza ninguna plataforma dada, excepto en la medida en que cualquier plataforma es naturalmente más popular que otra.

Los números recientes (el año pasado, este año, lo que sea) serían los mejores, pero lo que exista es incluso mejor.

    
pregunta tylerl 21.09.2012 - 10:21
fuente

4 respuestas

3

Sé de dos piezas de investigación en la literatura de investigación que estudian la incidencia de vulnerabilidades en diferentes plataformas:

  • Un análisis empírico de los mecanismos de validación de entrada en Aplicaciones web e idiomas . Theodoor Scholte, Davide Balzarotti, William Robertson, Engin Kirda. SAC 2012.

    • Este documento analiza más de 7000 CVE que reportaron vulnerabilidades de inyección XSS y SQL en 79 aplicaciones web. Luego, utiliza estos datos para estimar la prevalencia de diferentes tipos de vulnerabilidades de validación de entrada en diferentes lenguajes de programación web.

      El análisis del artículo encuentra algunas diferencias entre los idiomas. Por ejemplo, en el conjunto de datos, el 50% de las aplicaciones web se crearon en PHP, pero el 80% de las vulnerabilidades de inyección de SQL estaban en aplicaciones de PHP, por lo que el documento concluye que las aplicaciones web escritas en PHP pueden estar especialmente en riesgo de inyección de SQL. En contraste, las aplicaciones web escritas en Java parecen ser menos propensas a las vulnerabilidades de inyección de XSS y SQL. Vea el documento para más discusión.

  • Explorando la relación entre las herramientas de desarrollo de aplicaciones web y la seguridad . Matthew Finifter y David Wagner. Aplicaciones web 2011.

    • Este documento analiza la relación entre la elección del lenguaje de programación y el marco de desarrollo web frente a la seguridad, al observar el código de 9 equipos que crearon la misma aplicación web (la misma especificación, la misma funcionalidad) en diferentes idiomas.

      El documento no encuentra ninguna evidencia de que la elección del lenguaje de programación afecte la seguridad de la aplicación resultante. El experimento encuentra evidencia de que el grado de soporte para la seguridad (particularmente el soporte automático para el escape, el saneamiento, la administración de sesiones, etc.) beneficia a la seguridad. Concluye que, debido al pequeño tamaño de la muestra, los experimentos adicionales serían útiles para obtener una comprensión más profunda del efecto de las herramientas de programación en la seguridad web.

respondido por el D.W. 23.09.2012 - 20:10
fuente
1

La base de datos nacional de vulnerabilidades es una buena referencia para los datos estadísticos, pero no estoy seguro de que tengan un listado por plataforma, pero puede verificarlo. enlace

    
respondido por el John Santos 21.09.2012 - 13:58
fuente
1

Secunia tiene en su sitio alguna información estadística sobre vulnerabilidades dividida por proveedor y producto. Por ejemplo para Windows XP Professional:

enlace

Recopilan información desde 2003. La página está compuesta principalmente por gráficos y en este momento se muestra la mayoría de ellos.

    
respondido por el Pipe 21.09.2012 - 15:43
fuente
0

Hace algunos años hice algo similar para un cliente, y creo que su dirección de CVE es decente.
Sin embargo, como se vio, no es completamente sencillo, y nunca podrá obtener estadísticas precisas; a menudo, la plataforma no se menciona en absoluto.

Lo que deberá hacer es crear una lista de términos que sean comunes para cada plataforma en la que esté interesado y luego acumular grep para todos ellos. P.ej. para PHP necesitarías php wordpress zend drupal joomla etc.

Sí, deberás desarrollar esto de manera iterativa. No, nunca debes esperar tener el conjunto completo de estadísticas, pero puede darte algún tipo de imagen.
De todos modos, las CVE no son todas las vulnerabilidades conocidas de estos productos, sin mencionar el hecho de que las aplicaciones locales o los sitios específicos creados en estas plataformas tampoco afectarán a CVE ...

    
respondido por el AviD 23.09.2012 - 18:29
fuente

Lea otras preguntas en las etiquetas