web-dev-qa-db-ja.com

脆弱性の詳細を表示するためにどのサイトを使用しますか?

セキュリティの脆弱性の詳細を表示するために、どのサイトを使用していますか?

19
Nathan B.

私は http://secunia.com から開始する傾向があり、製品またはベンダーごとの脆弱性については、そこからCVE参照を選択して、 http:// www。 cvedetails.com

12
Rory McCune

この質問をされたので、適切な脆弱性の説明を見つけるのは面倒なことがよくあると思います。数百または数千の追加の脆弱性がプレイされているときに、単一の脆弱性の詳細を追跡するのに行き詰まったとき、私はそれを嫌います。

私のお気に入りのソースは、次のようなまともな助言サイトを運営しているベンダーです。

Red Hat: https://access.redhat.com/security/updates/active/
Microsoft: http://www.Microsoft.com/technet/security/current.aspx
Apache: http://httpd.Apache.org/security_report.html
...

脆弱性がWebアプリの調査から発見したものである場合、OWASPの脆弱性の説明を借りたい–実際、OWASPの2010年のトップ10 PDFは、レポートの参照またはコピーに特に適しているため、可愛い:
http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf

SSLサーバーと関係がある場合は、SSL Labsが最適です。 https://www.ssllabs.com/
(スコアリングの説明付き: https://www.ssllabs.com/downloads/SSL_Server_Rating_Guide_2009.pdf

そしてもちろん、ほとんどのプレミアム商用脆弱性スキャナーは脆弱性の説明の優れたキャッシュを提供します(例 http://www.rapid7.com/vulndb/index.jsp または Qualys (アカウントが必要です))

さらに、サポート契約を結んでいる場合は、特定の脆弱性の脆弱性の詳細を収集するための取り組みをベンダーにプッシュすることが有効な場合があります。

10
Tate Hansen

私は主に使用します

  • Exploit-DB -通常、私はこれをWebエクスプロイト(新しいJoomlaハックなど)に使用します
  • オープンソースの脆弱性データベース -あらゆる種類の製品に最適です。古いものを見つけました。このページの優れたハック
  • Secunia -検索用
  • Microsoft Technet -最新のMicrosoftの問題に関する追加の参考資料
  • Googleリーダー -多くのRSSフィードを購読しています。興味深い1つのフィードに接続すると、Googleは関連する類似のフィードを見つけるのに役立ちます。

また、アプリで発生する可能性のある問題を探している場合は、通常、ベンダーのホームページにアクセスすることで報われます。彼らは通常、最も重要な問題が何であるかを示す勧告を投稿します。

10
Chris Dale

ほとんどの情報については、ベンダーサイトを使用することを好みます。パッチや回避策の有無に関心があることが多いので、それらが最も役立つと思います。

ベンダーサイトがまったく役に立たない場合、つまりパッチや回避策がない場合でも、どのレベルの代替コントロールが必要かを判断する必要がある場合は、次の順序で使用する傾向があります。

  1. National Vulnerability Database
  2. セクニア
  3. exploit-db
6
Scott Pack

常に実行可能なエクスプロイト、または多くの優れたものに関する詳細な技術記事のいずれかを提供する他のソース:

また、securitytubeのこの投稿を参照してください。

http://questions.securitytube.net/questions/308/milw0rm-com-replacement

4
Troy Rose

アプリケーションセキュリティを使用しているため、私が最も頻繁に使用するWebサイトは Fortify Software です。

このサイトは、脆弱性のカテゴリーと悪意のある使用方法の説明を提供するだけでなく、選択した言語の特定の脆弱性に対する良い例と悪い例のコード例を頻繁に提供します。

このサイトは、ソースコードとより直接的に関連していますが、基本的なWeb脆弱性の説明でさえ、間違いなくそのトリックを果たしており、クライアントに脆弱性が正確に何であるかを伝えようとする際に非常に役立ち、同時に例を提供します修正のための開発者。

2
Purge

http://www.securityfocus.com

このサイトSecurityFocusには、記事のデータベースが充実していることがわかりました。けれども、何かがしっかりしていることがわかる前に、探しているものを知る必要がある場合もあります。

たとえば、Adobe Readerの脆弱性を探す場合は0です。 Adobe Acrobatをプルアップすると、Adobe Readerと言う人が何十人もいます。

1
SaUce