URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4899
[ Назад ]
Исходное сообщение
"Сервис авт. проверки версии приложения на известные уязвимости"
Отправлено Nas_tradamus , 19-Июл-11 13:07 
Добрый день!

Ищу сервис, с помощью которого можно было бы: ввести название ПО, его версию и получить результат - уязвима данная версия или нет.
Например, ввожу:

Приложение: PHP
Версия: 5.2.10

И получаю ответ в виде списка уязвимости, или хотя бы "пакет уязвим" (true/false).

Кто-нибудь встречал подобное?

Я сейчас пишу скрипт, который:
1) коннектится ко всем серверам из конфига (поддерживает Debian/FreeBSD),
2) по заданному из конфига списку сервисов (например, указываю в конфиге: php, mysql, nginx, apache) проверяет на каждом сервере установленную версию и доступную версию в репозитории.
3) Выводит отчет в виде html

Вот хотелось бы прикрутить туда еще проверку на уязвимости.

Заранее, спасибо!

Содержание
Сообщения в этом обсуждении
"на известные уязвимости"
Отправлено Andrey Mitrofanov , 19-Июл-11 13:34 
http://metasploit.com/
"на известные уязвимости"
Отправлено Nas_tradamus , 19-Июл-11 14:32 
> http://metasploit.com/

А как там это делать? Что-то не нашел.
А фрэймворк этот вроде совсем для другого.

"Сервис авт. проверки версии приложения на известные уязвимости"
Отправлено mr_gfd , 19-Июл-11 18:33 
http://web.nvd.nist.gov/view/vuln/search-advanced
"Сервис авт. проверки версии приложения на известные уязвимости"
Отправлено Nas_tradamus , 19-Июл-11 18:36 
> http://web.nvd.nist.gov/view/vuln/search-advanced

Опять не то. Я находил уже этот сайт. :(

Там не сделаешь именно так, как я описал.

"Сервис авт. проверки версии приложения на известные уязвимости"
Отправлено mr_gfd , 19-Июл-11 19:02 
>> http://web.nvd.nist.gov/view/vuln/search-advanced
> Опять не то. Я находил уже этот сайт. :(
> Там не сделаешь именно так, как я описал.

Все можно накняпать.

BTW,

/usr/ports/ports-mgmt/portaudit

"Сервис авт. проверки версии приложения на известные уязвимости"
Отправлено Nas_tradamus , 19-Июл-11 20:59 
>>> http://web.nvd.nist.gov/view/vuln/search-advanced
>> Опять не то. Я находил уже этот сайт. :(
>> Там не сделаешь именно так, как я описал.
> Все можно накняпать.

Что значит "накняпать"? И как там запрос составить для определенной версии пакета? А то часто на секьюрити-сайтах пишут что-то вроде "для версии 5.21 и ниже". Т.е., в поисковый запрос вообще не попадает.

> BTW,
> /usr/ports/ports-mgmt/portaudit

Не знаю что это, но мне хватает пока и pkg_version -v -s <package> .
Но эту команду тоже попробую.

ЗЫ: мой скрипт и с Linux и FreeBSD опрашивает успешно (опрашивает все сервера, заданные в конфиге). Осталось прикрутить алерты на уязвимость. но это не так критично, ибо скрипт и так выводит "есть такая-то версия пакета, но в репозитории есть новее".


"Сервис авт. проверки версии приложения на известные уязвимости"
Отправлено mr_gfd , 20-Июл-11 15:27 
//skipped

> Что значит "накняпать"?

написать скрипт/приложение, что будет ходить на заданный хост и парсить вывод.

>> BTW,
>> /usr/ports/ports-mgmt/portaudit
> Не знаю что это, но мне хватает пока и pkg_version -v -s
> <package> .
> Но эту команду тоже попробую.
> ЗЫ: мой скрипт и с Linux и FreeBSD опрашивает успешно (опрашивает все
> сервера, заданные в конфиге). Осталось прикрутить алерты на уязвимость. но это
> не так критично, ибо скрипт и так выводит "есть такая-то версия
> пакета, но в репозитории есть новее".

portaudit замечательно умеет оповещать ежедневно задачей по мылу в Security Report.