NIST의 국가 취약점 데이터베이스(NVD)
미국 정부도 취약점을 자체적으로 수집하고 목록화 하여 저장해 둔다. 그것이 바로 NVD이고 CVE라는 표준에 따라 정리되어 있다. 이는 버그리포트라는 이름으로 매일 최대 5개씩 본지에서도 소개되고 있다. NVD에는 약 78만 여개의 취약점이 저장되어 있으며 이는 앞으로도 계속해서 늘어날 전망이다. 표준화된 규격으로 매일 정부에서 관리하고 있어, 신뢰도가 매우 높다.
https://web.nvd.nist.gov/view/vuln/search
NVD - Search and Statistics
Search Vulnerability Database Try a product name, vendor name, CVE name, or an OVAL query. NOTE: Only vulnerabilities that match ALL keywords will be returned, Linux kernel vulnerabilities are categorized separately from vulnerabilities in specific Linux d
nvd.nist.gov
Mitre의 공통 보안 취약성 및 노출(CVE)
CVE는 취약점 분류 혹은 구조화의 가장 대표적인 포맷이다. 마이터 코퍼레이션(Mitre Corporation)이라는 미국 비영리 단체가 창시한 것으로, 이 마이터 코퍼레이션은 1999년부터 CVE 포맷의 최초 편집자 역할을 하고 있다. 위의 NVD도 Mitre의 CVE 목록을 가져다가 사용하는 것. 홈 페이지에 접속하면 CVE 목록을 다운로드 받을 수 있으며 CVE 관련 소식을 제일 먼저 접할 수 있다.
CVE - CVE
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
cve.mitre.org
CERT의 취약점 노트 데이터베이스(VNDB)
VNDB는 소프트웨어 취약점에 대한 정보를 제공한다. 취약점에 대한 간단한 설명, 기술적인 세부 사항, 복구 및 약화 정보, 관련 벤더 목록 등이 이 정보에 포함된다. 대부분 보안 전문가들이 개인적으로 연구해서 밝힌 내용들이다. 즉, NVD나 Mitre만큼 다루는 범위가 넓지는 못하다. 그러나 패킷슬레드(PacketSled)의 CTO인 프레드 윌못(Fred Wilmot)에 의하면 “VNDB가 더 실용적으로 활용될 수 있는 경우가 왕왕 발생한다”고 설명한다. NVD와 상호 보완하면 가치가 더 높아진다.
CERT Coordination Center
The Vulnerability Notes Database provides information about software vulnerabilities.
www.kb.cert.org
RBS의 VulnDB
리스크 베이스드 시큐리티(Risk Based Security, RBS)는 보안 업체로 자신들만의 취약점 첩보를 제공한다. 이를 VulnDB라고 하며, 소프트웨어 취약점에 대한 세부사항을 처음부터 끝까지 포함하고 있어 기업들이 능동적으로 대처할 수 있도록 해준다. 또한 가장 큰 취약점 데이터베이스라고 알려져 있다. 감사 정보는 없지만 방화벽이나 IDS/IPS와 같은 제품의 취약점 정보를 파악하고 오픈소스로 문제 해결을 원치 않거나 라이브러리 구축 및 유지를 원치 않을 때 유용하다. 12, 24, 36개월 구독 신청 시 제공된다.
https://www.riskbasedsecurity.com/vulndb/
VulnDB Add-On for Splunk
Used by: Security & Vulnerability Teams https://www.youtube.com/watch?v=lGWJtDCdV_c&feature=youtu.be Vulnerability Intelligence for Splunk Powerful Analysis, Driven by Better Data The ability to gain insights from data to inform decision-making is at the h
www.riskbasedsecurity.com
DISA의 IAVA 데이터베이스와 STIGS
CVE 취약점들은 미국의 국방 정보 시스템 에이전시(Defense Information System Agency, DISA)의 정보 확증 취약점 경보(Information Assuarance Vulnerability Alerts, IAVA)로 매핑되기도 한다. 그리고 이는 DISA가 운영하는 보안 기술 도입 가이드(Security Technical Implementation Guides, STIG)라는 웹 사이트에서 다운로드가 가능하다. 즉 CVE라는 취약점 목록을 국방 관련된 정부 기관이 따로 재편집해 공개하는 것이라고 볼 수 있다. 그렇기에 비상업 부문, 특히 정부 및 공공 기관과 관련된 취약점이 상세히 다뤄진 것이 특징이다. 또한 환경설정 및 시스템 옵션 설정 등과 관련된 취약점 해결법이 많이 소개된다.
http://iase.disa.mil/stigs/Pages/iavm-cve.aspx
SecurityTracker.com
시큐리티트래커닷컴 역시 취약점 데이터베이스 라이브러리로 매일 업데이트 되며, OS와 연관성이 없는 취약점을 주로 목록에 포함시킨다. 최근에는 사회 기반시설 및 사물인터넷과 관련된 취약점이 주로 전면을 장식하며, CVE에 없는 새로운 오류들을 알아내기 위한 데이터베이스로서 애용되고 있다.
http://securitytracker.com/
securitytracker.com
한국 인터넷 진흥원(KISA)
한국 인터넷 진흥원에서는 보안 취약점 사전 발굴 및 조치를 위해 보안 취약점 신고 포상제를 운영하며, 핵더챌린지 플랫폼을 통해 보안 취약점 전문가가 신속하게 취약점을 발굴할 수 있는 환경을 제공한다.
보안 취약점 정보 포털
닫기 검색
knvd.krcert.or.kr
CWE LIST
CWE(COmmon Weakness Enumeration)은 소프트웨어 취약점을 사전식으로 분류해 쉽게 찾아볼수 있도록 정보를제공하며 취약점이 발견될 때마다 CWE-[번호] 형태로 등록되며 유형별로 트리형식으로 분류해 놓았다.
CWE - Common Weakness Enumeration
CWE™ is a community-developed list of software and hardware weakness types. It serves as a common language, a measuring stick for security tools, and as a baseline for weakness identification, mitigation, and prevention efforts. 2022 CWE Top 25 Most Dang
cwe.mitre.org
SANS TOP 25
SANS(SysAdmin, Adult, Network, Security)는 산학협동 연구소인데, CWE에 리스팅된 소프트웨어 취약점중 가장 위험한 25개의 취약점에 스코어를 매긴 리스트를 제공한다. 순위를 정하기 위해 CWSS를 사용했으며, 취약점을 완화시킬 수 있는 방법도 제공한다.
Cyber Security Training | SANS Courses, Certifications & Research
"SANS courses are fully aligned to what is happening in the industry. Course materials are continuously updated based on new developments in cybersecurity. It is rigorous, challenging, and relevant.” - Karim Lalji, Managing Security Consultant, TELUS
www.sans.org
OWASP TOP 10
웹 서버에서 가장 많이 발생하는 침해사고 유형 10가지를 정리한 사이트, 더이상의 설명이 의미없다.
OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation
OWASP Foundation, the Open Source Foundation for Application Security on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.
owasp.org
'Web Hacking > Web' 카테고리의 다른 글
| OSINT/OSINF 를 활용한 공격과 방어 (0) | 2022.07.28 |
|---|---|
| 웹해킹 공부시 참고할만한 문서들 (0) | 2022.07.13 |
| XSS (Cross-Site-Scripting) (0) | 2022.07.07 |
| BurpSuite 사용시 유용한 단축키 모음 (0) | 2022.07.07 |
| 동일 출처 정책 SOP(Same-Origin-Poliy) (0) | 2022.07.06 |
