Estoy buscando una lista de vulnerabilidades conocidas y sus firmas. ¿Hay alguna lista pública de vulnerabilidades de seguridad y sus firmas?
NVD (BASE DE DATOS NACIONAL DE VULNERABILIDAD) proporciona una base de datos de vulnerabilidades conocidas, ¿pero esta lista contiene sus firmas? ¿Hay alguna lista de vulnerabilidades junto con las firmas?
Para mí, me parece que esto se debe a un área subyacente de confusión en torno a qué vulnerabilidades son en realidad. Una vulnerabilidad es simplemente un área donde alguien puede pasar por los controles de seguridad que se implementan. En muchos contextos, esto podría significar que la vulnerabilidad en cuestión sigue un diseño específico, como XSS o CSRF. Pero ese no es siempre el caso, porque el concepto de vulnerabilidad es mucho más abstracto.
La seguridad como campo y concepto es realmente amplia, y se aplica a sistemas tanto como a piezas de software individuales. Como ejemplo, en un contexto corporativo, cada ser humano es una vulnerabilidad, porque cada ser humano puede divulgar información o comprometer la seguridad de otras maneras. Las puertas también son vulnerabilidades, porque los atacantes pueden ingresar a través de ellas y los activos pueden salir accidentalmente a través de ellas. Lo mismo ocurre con los botes de basura, porque los activos podrían perderse en ellos. Los baños son los mismos. Por supuesto, los humanos, las puertas, los botes de basura y los retretes son todos riesgos que necesariamente deben aceptarse, pero siguen siendo vulnerabilidades.
Entonces, para responder a su pregunta original, las vulnerabilidades no tienen firmas porque son abstractas y representan algo intangible. No pueden tener firmas, porque existen como un concepto en un nivel mucho más alto. Los virus pueden tener firmas, pero eso se debe a que los virus son piezas discretas de software que funcionan de una manera increíblemente estrecha. (Por cierto, tenga en cuenta la distinción: los virus pueden tener firmas, pero el malware no tiene firmas).
Parece que podría estar buscando algo relacionado con el escaneo de vulnerabilidades - ¡increíble! Vuln scan es un espacio super cool! OWASP tiene una gran lista de exploradores de vulnerabilidades significativas aquí , así que definitivamente, compruebe eso. Hay otros escáneres y herramientas de escaneo que no se incluyen en este último, pero son bastante completos y deberían darle un buen punto de partida. Por supuesto, las bases de datos de firmas de virus también existen. No puedo recomendar ninguna en específico, pero la búsqueda en la "base de datos de firmas de virus" debería proporcionarle algunos resultados útiles si eso es lo que está buscando. Y, por supuesto, como mencionaste, NIST tiene un gran depósito de vulnerabilidades , al igual que MITRE .
Lea otras preguntas en las etiquetas digital-signature vulnerability known-vulnerabilities threats