|
|
Главная | Словарь | Книги | Контакты |
Что такое CVE?
В приложении находят проблему с безопасностью Например, нужен физический доступ к ПК, учетная запись под меньшими правами или же из мира. И повышают права или проводят атаку на отказ в обслуживании. Именно MITRE придумали CVE. Common Vulnerabilities and Exposures
Есть множество сайтов, агрегаторов cve. Обычно, они дают только номер и описывают. Но бывают сайты, где дают решения: обновится или отключить что то через настройки. Также бывают сайты, где специалисты ищут решение.
По сути если у уязвимости есть номер -- то значит об этом уже все знают. В том числе и разработчики конкретного софта. Другой вопрос, что разработчики часто тянут с решениями. Можно смело сказать так. Если вы нашли уязвимость на cve и начали что то делать, то вообще то 0 дай уже работает на вашем предприятии.
Вот сотрированный по годам на github
https://github.com/trickest/cve
Чтобы добавить свою cve, надо заполнить форму: https://cveform.mitre.org/
Процесс описан здесь: https://www.cve.org/ResourcesSupport/FAQs
Вот агрегаторы CVE.
https://vuldb.com/
https://vulners.com/
https://cve.mitre.org/cve/search_cve_list.html
https://www.cisa.gov/
https://security.snyk.io/
https://nvd.nist.gov/
https://www.cve.org/
https://bugzilla.redhat.com/buglist.cgi?quicksearch=gnu%20pass
https://www.cvedetails.com/vulnerability-list/vendor_id-72/product_id-913/GNU-Mailman.html
В дистрибутивах
Майнтенеры дистрибутивов ведут CVE рассылки, которые, как я понимаю, можно настраивать только под свои пакеты. То есть как только узнают пишут, потом уже идут исправления.
https://wiki.gentoo.org/wiki/Portage#glsa-check
Есть под дебиан.
Логика
Давайте честно. По логике, такие сайты имеют смысл только от мамкиных хакеров. То есть если вы на сайте такое прочитали, то разработчики вашего софта уже точно знают о проблеме. Иначе бы ей номер не присвоили. Другой вопрос, что опен соурс и даже платный софт не всегда сразу исправляет ошибки. Часто дают временные рекомендации. Также бывает, что решения не дают очень долго, а исправления на уровне блокировки трафика, например.
Но в любом случае надо искать уязвимости до того, как они получили cve номер. А это сложно.
Программистам
Есть продукты SCA которые ищут по базе библиотек и открытый код проверяют на поддерживаемость и на уязвимости.
Сканеры списком
| Scanners | Providers | Evaluated | As Default | Onboard in Release | |
|---|---|---|---|---|---|
| Clair |
 |
CentOS |
 |
(removed as default in v2.2) | v1.10 |
| Anchore |
 |
Anchore |
|
v1.10 | |
| Trivy |
 |
Aqua |
|
|
v1.10 |
| CSP |
 |
Aqua |
|
v1.10 | |
| DoSec |
 |
DoSec |
|
v1.10 | |
| Sysdig Secure |
 |
Sysdig |
|
v2.1.0 | |
| TensorSecurity |
 |
TensorSecurity |
|
v2.2.0 | |
| ArksecScanner |
 |
Arksec |
|
v2 |
Несколько статей по теме
Каждый день появляются новые уязвимости затрагивающие всевозможные программы, сервисы и операционные системы, такие как: Windows, macOS, Linux и Android. Многие уязвимости ускользают от внимания обладателей этих устройств и пентестеров, но все эти уязвимости агрегируются и добавляются в базы уязвимостей. О таких сайтах собирающих уязвимости мы и расскажем в сегодняшней статье.
Еще по теме: Как проверить сайт на уязвимости
Раньше в различных сервисах для указания одних и тех же уязвимостей использовались разные названия. Для устранения путаницы с названием уязвимостей компания MITRE предложила решение, независимое от различных производителей средств поиска уязвимостей. Это решение было реализовано в виде базы данных уязвимостей CVE Common Vulnerabilities and Exposures (Общие уязвимости и воздействия). Это решение позволило всем специалистам и производителям разговаривать на одном языке.
В данной базе для каждой уязвимости используется следующий атрибут записи CVE- YYYY-NNNN, где YYYY — это год обнаружения уязвимости, а NNNN — ее порядковый номер. В нашем примере уязвимость SSH V.7.7 под названием CVE-2018-15473.
Уязвимости пользуются большим спросом у хакеров и пентестеров. Они могут использоваться для взлома устаревших версий Windows, повышения привилегий и доступа к маршрутизаторам.
Теперь когда мы знаем, что такое CVE, давайте перейдем к списку лучших сайтов для поиска уязвимостей. Я намеренно начинаю обзор с зарубежных ресурсов. Рекомендую обратить внимание именно на них. Ведь информационная безопасность как и любая другая область IT требует знания английского языка. Без этого никак, и чем раньше вы начнете выходить из зоны комфорта и мучить этим свой мозг, тем лучше.
Центр реагирования на компьютерные инциденты CIRCL — это организация, которая фокусируется на взломах и информационной безопасности.
На сайте CIRCL представлены публикации исследований безопасности и база данных уязвимостей для поиска.
На протяжении десятилетий специалисты VulDB работали с крупными и независимыми сообществами в сфере информационной безопасности для создания базы данных с возможностью поиска более 124000 уязвимостей.
Сотни новых уязвимостей еженедельно добавляются на сайт, которые в зависимости от серьезности получают метку (низкий, средний, высокий).
В прошлом SecurityFocus информировал о случаях взлома и публиковал всевозможные материалы по теме информационной безопасности.
В настоящее время сервис отслеживает отчеты об ошибках программного обеспечения и с 1999 года ведет архив CVE с возможностью быстрого поиска уязвимости.
0day.today (доступный через Tor) — это база данных уязвимостей, которая также продает личные эксплойты, цена которых не превышает 5000$.
Есть несколько сообщений о мошеннических действиях с частными продажами, но несмотря на это база данных уязвимостей, доступна для бесплатного поиска и вполне законна для использования.
У Rapid7, создателей знаменитого фреймворка Metasploit, тоже есть свой архив уязвимостей. Однако, в отличие от других баз данных, Rapid7 очень редко использует фактический код уязвимости CVE. Вместо этого сервис предлагает советы, содержащие полезные ссылки на соответствующую документацию для исправления, а также ссылки на модули msfconsole.
К примеру, вышеупомянутую уязвимость SSH CVE-2018-15473 можно найти в msfconsole и применить с большой легкостью.
Еще по теме: Где скачать вирусы
Национальный институт стандартов и технологий NIST — это одна из старейших физико-технических лабораторий в США. В настоящее время он участвует в проекте «Национальная инициатива по образованию в области кибербезопасности».
Ведет свою базу данных уязвимостей, которая открыта для публичного использования.
Packet Storm Security не предназначен для поиска уязвимостей. На сайте Packet Storm вы можете узнавать о новостях мира информационной безопасности, читать публикации о новых уязвимостях и инструментах используемых в пентесте и в защите от компьютерных атак.
База данных Exploit Database в настоящее время поддерживается организацией Offensive Security, которая специализируется на взломе Windows и безопасности веб-приложений.
В своей базе данных, доступной для поиска, на данный момент более 40000 уязвимостей. Есть также сервис Google hacking database, о котором мы рассказывали в статье Google Dorks.
Exploit Database — это очень популярный сервис, которым пользуются пентестеры и хакеры. На мой взгляд это самый удобный сервис. Найти уязвимость можно как по названию, так и по определенным категориям, которые упрощают поиск.
Vulners, основанная Киром Ермаковым, представляет собой базу данных CVE, в настоящее время содержащую более 176500 уязвимостей. Сайт включает статистику CVE, аудитор управления уязвимостями Linux.
Еще по теме: Образцы вирусов с исходным кодом
MITRE — спонсируемая правительством США организация. Сайт ведет одну из самых больших баз данных уязвимостей.
Русскоязычные сайты поиска уязвимостей, не могут похвастаться размахом и частотой обновления. Но для тех, кто не дружит с английским могут быть полезны.
ФСТЭК — на мой субъективный взгляд далеко не самый лучший сайт для поиска уязвимостей.
Архив уязвимостей SecurityLab обновляется чаще чем ФСТЭК. Данных об уязвимости мало, но есть категории. Сайт черпает информацию об уязвимостях из зарубежных источников. Ничего своего, как впрочем и публикующиеся там статьи, как впрочем и весь сегодняшний рунет переводящий и перепечатывающий зарубежных специалистов.
https://spy-soft.net/exploit-databases-for-finding-vulnerabilities/
Разное
[https://hacked.slowmist.io/en]
постоянно обновляемый сервис обмена угрозами, связанными со взломами различного рода децентрализованных финансовых сервисов. Есть еще подобный, но уже частично на русском языке - [https://rekt.news/ru/].
