👾 Уязвимости online. Полезные ресурсы и базы данных для поиска уязвимостей. • Хакеры начинают искать уязвимые эндпоинты уже через 15 минут, после раскрытия данных о CVE. Дело в том, что они постоянно мониторят сообщения от поставщиков и производителей ПО в поисках объявлений о новых уязвимостях, которые можно было бы использовать для начального доступа к корпоративной сети или удаленного выполнения кода. 🖖🏻 Приветствую тебя user_name. • Часто нужно узнать всю информацию о какой-нибудь уязвимости: насколько найденный баг критичен, есть ли готовые сплоиты, какие вендоры уже выпустили патчи, каким сканером проверить наличие бага в системе и т.д. Для этих потребностей есть не мало инструментов и *ресурсов, о которых ты сегодня узнаешь: • MITRE CVE — база данных, поисковик и классификатор уязвимостей. • opencve.io — поисковик CVE с функционалом оповещений о новых угрозах. • Vulnerability Database — ресурс для поиска информации об актуальных угрозах. • sploitus — поисковик по эксплойтам и необходимым инструментам инструментам. • CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени. • GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности. • Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения. • Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг. • CVEDetails, osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации. • security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом. • Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit. *Список ресурсов не претендует на полноту. S.E. ▪️ S.E.Relax ▪️ infosec.work