脆弱性情報や攻撃コードを探す際に見るところ
概要
- 公開されている脆弱性情報や攻撃コードを集める際に見るところを整理してみました。
- ソフトウェアの採用検討や情報収集などの際に既知脆弱性がどれだけありそうか参考にすることが目的であり、情報の悪用は目的としていません。
- 「Pen Test Partners blog」や「先知社区」は新しい情報がどんどん追加されるので、日常的に眺めるのも面白いです。
情報源
JVN脆弱性対策情報データベース
- https://jvndb.jvn.jp/search/index.php?mode=_vulnerability_search_IA_VulnSearch
- 基本はJPCERTが開発者と調整後、脆弱性が修正されてから情報が公開されます。
- そのため、公式の修正情報のリンクや影響を受けるバージョンが記載されています。
- 例外として、開発者からレスポンスがない場合は修正前の脆弱性が公開されることもある?
exploitdb
- https://www.rapid7.com/db
- rapid7が運営
- 攻撃コードがたくさん登録されています。
先知社区
- https://xz.aliyun.com/
- 中国のハッカーコミュニティ?
- 中国語の情報ばかりですが、コマンドとかソースコードが掲載されているのと、漢字の雰囲気で大体何のことが書いてあるのかわかると思います。
NVD
- https://nvd.nist.gov/vuln/search
- NIST(National Institute of Standards and Technology アメリカ国立標準技術研究所)が管理する脆弱性情報のデータベース
github, gist
- https://gist.github.com/discover
- https://github.com/
- 「{調査対象名称} poc」とかで調べると攻撃コードが出てくることがあります。
- https://www.google.com/
- 「{調査対象名称} poc」とかで調べると攻撃コードが出てくることがあります。
Pen Test Partners blog
- https://www.pentestpartners.com/security-blog/
- IoTガジェットのハッキング情報など、面白い記事がたくさん公開されています。
VulnDB
- https://vulndb.cyberriskanalytics.com/
- 脆弱性のデータベース
- 有料なので使ったことがありませんが、いつか使ってみたいなと思っているので記載しました。
