Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

upSploit.com - Automatizált sérülékenység jelentés

2012.02.04. 17:04 | buherator | Szólj hozzá!

Elindult az upSploit.com, ami a szoftver sérülékenységek automatizált bejelentését és közzétételét tűzte ki célul. Regisztráció után Egyszerű űrlapok segítségével adhatók meg a feltárt sérülékenységek részletei, a folyamat végén a kijelölt gyártó automatikusan értesítésre kerül. A nyilvánosságrahozatalra a bejelentés után 180 nappal kerül sor, amennyiben a gyártó nem reagál az addig havonta illetve hetente küldött figyelmeztetésekre. 

Annak idején mi is gondolkoztunk hasonló megoldásban, és azt kell mondanom, hogy egy hasonló rendszer működtetése nem olyan egyszerű, mint elsőre tűnhet:

A beküldött mutatványok működését célszerű ellenőrizni, egyébként agybajt fognak kapni a gyártók a sok fals-pozitívtól. Ez manuálisan végezhető el, ami nem hatékony, ráadásul nem is biztos, hogy megtehető legálisan. A nyilvánosságrahozatal mikéntje nagyban függhet a hiba jellegétől - az upSploit adatbázisában jelenleg megtalálható esetek nagyrészt alacsony kockázatú, könnyen javítható problémák, melyek javítására a 180 nap egy kicsit túlzásnak tűnik, előfordulhatnak ugyanakkor olyan tervezési hiányosságok, melyeket csak egy következő főverzióban lehet majd javítani. Szintén érdekes problémákat vet fel, hogy ki fér hozzá a beküldött anyagokhoz, illetve hogy milyen kára származhat egy gyártónak egy akár téves megállapításokat is tartalmazó hibajegyből.

Érdekes lesz látni, hova fut ki a kezdeményezés, én megszavazok nekik egy linket oldalra.

Címkék: upsploit.com

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.