Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

HITCON GIRLS 資安萌芽推廣 2017: 從 CVE 找材料

HITCON GIRLS 資安萌芽推廣 2017: 從 CVE 找材料

Télécharger pour lire hors ligne

你們曾在新聞報導的資安事件中看過 CVE 編號嗎?那你們知道CVE是什麼嗎?我們將帶各位認識CVE,了解 CVE 的資料是如何維護的,希望藉由這一場活動,讓同學們之後看到 CVE 編號時,會透過編號來查詢該漏洞的相關資訊。

你們曾在新聞報導的資安事件中看過 CVE 編號嗎?那你們知道CVE是什麼嗎?我們將帶各位認識CVE,了解 CVE 的資料是如何維護的,希望藉由這一場活動,讓同學們之後看到 CVE 編號時,會透過編號來查詢該漏洞的相關資訊。

Plus De Contenu Connexe

HITCON GIRLS 資安萌芽推廣 2017: 從 CVE 找材料

  1. 1. 從CVE 找材料HITCON GIRLS 資安萌芽推廣@中興大學 20170708 MARTIAN
  2. 2. OUTLINE CVE 是什麼 CVE 的時空背景 支持 CVE 的組織 透過 CVE 找漏洞資料
  3. 3. 重大資安事件出現時...
  4. 4. 當然會有資安新聞報導 族繁不及列載 iThome 資安人科技網 TechNews 科技新報 資安趨勢部落格 行政院國家資通安全會報技術服務中心 TDOHacker 資安週報
  5. 5. 有些報導中會提到某個編號...
  6. 6. 有沒有嘗試查詢這些編號?
  7. 7. COMMON VULNERABILITIES AND EXPOSURES (CVE®) 中文:常見的弱點與漏洞 Wiki 摘要:一個與資訊安全有關的資料庫,收集各 種資安弱點及漏洞並給予編號以便於公眾查閱 與其說是資料庫,比較像是 有著編號作為索引的弱點與漏洞字典
  8. 8. CVE 的時空背景 CVE 始於 1999 → 當時各家資安工具各自為政、自己玩自己的 → 一個漏洞,各自表述 結果安全覆蓋率可能有潛在的差距 → 需要統一標準 → CVE 成為弱點/漏洞名稱的業界標準
  9. 9. 如果無法看動畫請點這裡
  10. 10. 支持CVE 的組織 商業資安工具供應商 研究機構 政府部門
  11. 11. CVE 運作過程 建立 CVE 的過程從發現潛在的弱點/漏洞開始 -> 由 分配 CVE ID -> 由 CVE 編輯者公佈在 CVE 網站上的 中。 上述的工作交給 CVE 管理者之一的 進行 CVE 編號機構(CNA) CVE 清單 MITRE
  12. 12. 如果將CVE 編號丟到搜尋引擎...
  13. 13. 資訊海中怎麼找真正想要的資料
  14. 14. 來看CVE 官網上有沒有連結?
  15. 15. CVE ID 包含以下: CVE 編號 (i.e., “CVE-1999-0067”, “CVE-2014-10001”, “CVE-2014-100001”). 弱點/漏洞的簡單敘述 相關附加資料 (i.e., 弱點報告跟公告). 以 cve-2017-0143 為例
  16. 16. 危險等級、影響範圍 建議、解法與工具 弱點/漏洞類型 U.S. NATIONAL VULNERABILITY DATABASE (NVD) 以 cve-2017-0143 為例
  17. 17. 資訊 討論 攻擊/利用 解法 參考資料 SECURITY FOCUS 以 cve-2017-0143 為例
  18. 18. 延伸應用- 提供實作缺陷的環境 作為學習攻擊的練習 從中瞭解漏洞屬性 有些題目取材自 CVE PENTESTERLAB
  19. 19. SUMMARY 從 CVE 編號搜尋各方資安資料庫 一層一層地挖出參考資料

×