2.dia Szoftver sebezhetőségek Flashcards
(5 cards)
Sebezhetőség fogalma
Egy tökéletlenségből származó hiba egy szoftverben, hardverben firmverben vagy szolgáltatás komponensben amelyet kihasználhatnak informatikai biztonsági szempontokat megsértő módon.
Nulladik napi sebezhetőség
Olyan sebezhetőség, amelyről nem tudnak a gyártók. Ennek kiaknázása a nulladik napi támadás.
Sebezhetőségi adatbázis fogalma és példa
Olyan speciális adatbázis amelyben számítógépes rendszerekben talált sebezhetőségekről információkat gyűjtenek.
Szabad: GitHub Advisory Database, OSV, National Vulnerability Database (NVD)
Nem szabad: VullDB, Mend.io Vulnerability Database, Snyk, Debricked
CVE leírása
Egy program (Gyakori Sebezhetőségek és Kitettségek), amely küldetése a nyílvánosságrahozott sebezhetőségek azonosítása, meghatározása és kategorizálása. Így egy katalógust hoznak létre ahol minden sebezhetőséghez egy CVE rekord van. Az itt publickált sebezhetőségeket a programmal együttműködő szervezetek fedik fel.
Az USA belbiztonsági Minisztériuma szponzorálja.
Ez viszont nem egy adatbázis, hanem egy lista, és azonosítók. Inkább egy szótár, hogy a kiberbiztonsági szakértők ugyan azon azonosítóval tudjanak egyes sebezhetőségekre hivatkozni.
Részei:
CVE azonosító : alfanumerikus azonosító a sebezhetőségekhez
CVE rekord : azonosítóhoz tartózó, azt leíró adatok
CVE lista : rekordokból áll
NVD
Nemzeti Sebezhetőségi Adatbázis amelyet a NIST tart karban. CVE listára épülő, szinkronizált adatbázis.
CVE rekordokat tartalmaz kiegészítő információkkal, mint pl.: a hibajavítás vagy súlyossági pontszámok 0-10.
Web API-n keresztül érhető el.
