¿Qué sitio usa para ver los detalles de las vulnerabilidades? [cerrado]

19

¿Qué sitios / sitios usáis para ver detalles de las vulnerabilidades de seguridad?

    
pregunta Nathan B. 19.12.2010 - 20:26
fuente

7 respuestas

12

Tiendo a comenzar con enlace para las vulnerabilidades por producto o proveedor, seleccione las referencias de CVE desde allí y luego vea los detalles en enlace

    
respondido por el Rоry McCune 19.12.2010 - 23:14
fuente
10

Supongo que, dado que hiciste esta pregunta, a menudo te resulta insensato encontrar buenas descripciones de vulnerabilidad. Odio cuando me quedo atascado persiguiendo los detalles de una única vulnerabilidad cuando hay cientos o miles de vulnerabilidades adicionales en juego.

Mis fuentes favoritas son los proveedores que ejecutan sitios de asesoría decentes, como:

  

Red Hat: enlace
  Microsoft: enlace
  Apache: enlace
  ...

Si descubrí una vulnerabilidad en una aplicación web, me gustaría tomar prestadas las descripciones de vulnerabilidad de OWASP; de hecho, el Top 10 de 2010 de OWASP para PDF es especialmente bueno para referenciar o copiar informes, porque es bonito:
< a href="http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf"> enlace

Si tiene algo que ver con un servidor SSL, entonces SSL Labs es excelente: enlace
(w / descripción del puntaje: enlace )

Y, por supuesto, la mayoría de los escáneres de vulnerabilidad comercial premium ofrecen buenos cachés de descripciones de vulnerabilidad (por ejemplo, enlace o < a href="http://www.qualys.com/"> Qualys (necesita una cuenta))

Más allá de eso, a veces es eficaz hacer un esfuerzo para reunir los detalles de vulnerabilidad para una vulnerabilidad en particular al proveedor si tiene un contrato de soporte.

    
respondido por el Tate Hansen 20.12.2010 - 01:21
fuente
10

Yo uso primordial

  • Exploit-DB : generalmente lo uso para ataques web (como un nuevo hack de Joomla, o algo similar)
  • Base de datos de vulnerabilidad de código abierto : excelente para todo tipo de productos. He encontrado algunos viejos. pero excelentes hacks en esta página
  • Secunia : para búsquedas
  • Microsoft Technet : para obtener información adicional sobre los últimos problemas de Microsoft
  • Google Reader : me suscribo a muchos canales RSS. Si te conectas a una fuente que te parece interesante, Google te ayuda a encontrar fuentes similares en las que está relacionado.

También usualmente vale la pena visitar la página de inicio del proveedor si está buscando algún problema que sus aplicaciones puedan causar. Por lo general, publican avisos donde le muestran cuáles son los problemas más críticos.

    
respondido por el Chris Dale 20.12.2010 - 07:10
fuente
6

Prefiero usar los sitios de proveedores para la mayoría de la información. Dado que a menudo me interesa más si existe o no un parche o una solución alternativa, los encuentro más útiles.

Cuando el sitio del proveedor no es del todo útil, es decir, no hay ningún parche / solución alternativa y todavía tenemos que determinar qué nivel de controles de compensación son necesarios, tiendo a usar lo siguiente (en orden)

  1. Base de datos de vulnerabilidad nacional
  2. Secunia
  3. exploit-db
respondido por el Scott Pack 20.12.2010 - 04:36
fuente
4

Algunas otras fuentes que siempre ofrecen explotaciones viables o artículos técnicos en profundidad sobre muchas cosas buenas:

  • enlace : altamente Técnico, empujando los límites de seguridad
  • enlace - utilizado ser genial - no estoy seguro si su arriba, un montón de 0 días
  • enlace
  • enlace solía amar este sitio.
  • enlace - A veces tienen grandes artículos

También, vea esta publicación en securitytube:

enlace

    
respondido por el Troy Rose 22.12.2010 - 22:06
fuente
2

Al estar en Application Security, el sitio web que uso con más frecuencia es Fortify Software

Este sitio no solo brinda una explicación de la categoría de vulnerabilidad y cómo se puede usar de manera malintencionada, sino que también proporciona ejemplos de código de buenas y malas prácticas para una vulnerabilidad determinada en el idioma que elija.

Este sitio está más directamente relacionado con el código fuente, sin embargo, incluso para las explicaciones básicas de vulnerabilidad de la web, definitivamente funciona, y me ha ayudado enormemente a la hora de transmitir a un cliente qué es exactamente la vulnerabilidad y, al mismo tiempo, proporcionar Ejemplos a los desarrolladores para su corrección.

    
respondido por el Purge 20.12.2010 - 18:43
fuente
1

enlace

Encontré que este sitio SecurityFocus tiene una buena base de datos de artículos. Aunque a veces necesitas saber lo que estás buscando antes de poder encontrar algo sólido.

Por ejemplo, si busca vulnerabilidades en Adobe Reader, hay 0; si saca Adobe Acrobat, hay docenas que dicen Adobe Reader.

    
respondido por el SaUce 04.01.2011 - 22:06
fuente

Lea otras preguntas en las etiquetas