En este post te vamos a contar varios recursos para encontrar vulnerabilidades en cual dispositivo.

vulnerabilidades 10 sitios para encontrar vulnerabilidades

Cientos de vulnerabilidades de Windows 10, macOS y Linux son reveladas cada semana, muchas de las cuales eluden la atención de la mayoría. La mayoría de los usuarios ni siquiera son conscientes de que existen vulnerabilidades y vulnerabilidades recientemente encontradas, ni de que los CVEs pueden ser localizados por cualquier persona con sólo unos pocos clics desde una selección de sitios web en línea.

¿Qué es un CVE?

El sistema de referencia numerado utilizado para catalogar vulnerabilidades y vulnerabilidades reveladas se denomina sistema de Vulnerabilidades y Exposiciones Comunes (CVE).

Por ejemplo, la Exploit Database utiliza CVE para identificar vulnerabilidades individuales que están asociadas con una versión particular de un servicio como «SSH v7.7», como se muestra a continuación con CVE-2018-15473. Todas las bases de datos de explotación operan e indexan los CVEs de forma similar o exactamente igual al número CVE asignado a esta vulnerabilidad particular de enumeración de nombres de usuario SSH.

Los CVEs y las hazañas son muy buscados tanto por los sombreros negros como por los profesionales de la seguridad. Se pueden utilizar para piratear versiones obsoletas de Windows, realizar escalamientos de privilegios y acceder a enrutadores sin que el objetivo lo sepa, entre otras cosas.

Ahora que sabemos lo que es un CVE, veamos dónde podemos encontrarlos.

CIRL

vulnerabilidades 10 sitios para encontrar vulnerabilidades

El Centro de Respuesta a Incidentes Informáticos de Luxemburgo (CIRCL) es una organización de seguridad de la información diseñada para gestionar la detección de ciberamenazas e incidentes. Su sitio web incluye publicaciones de investigación sobre seguridad y una base de datos CVE en la que se pueden realizar búsquedas.

No se lo pierda: Como corregir el error 500 interno del servidor en WordPress

VulDB

vulnerabilidades 10 sitios para encontrar vulnerabilidades

Durante décadas, los especialistas de VulDB se han coordinado con grandes e independientes comunidades de seguridad de la información para compilar una base de datos con capacidad de búsqueda de más de 124.000 CVEs. Cientos de nuevas entradas se añaden diariamente y se califican (por ejemplo, bajo, medio, alto) en función de la gravedad de la vulnerabilidad revelada.

Security Focus

SecurityFocus ha informado sobre incidentes de ciberseguridad y ha publicado libros blancos en el pasado. En la actualidad, realiza un seguimiento de los informes de errores de software y ha estado compilando un archivo de CVEs en el que se pueden realizar búsquedas desde 1999.

vulnerabilidades 10 sitios para encontrar vulnerabilidades

No se lo pierda: Cómo encontrar casi todas las vulnerabilidades conocidas y explotarlas ahí fuera

O day Today

0day.today (accesible a través del servicio tor cebion), es una base de datos de exploits que también vende exploits privados por hasta $5,000 USD. Si bien hay varios informes de estafas con ventas privadas, la base de datos pública con capacidad de búsqueda es bastante legítima.

vulnerabilidades 10 sitios para encontrar vulnerabilidades

Rapi7

Rapid7, creadores del Metasploit Framework, tienen una base de datos CVE en su sitio web. Sin embargo, a diferencia de otras bases de datos, Rapid7 muy raramente presenta el código de explotación real. En su lugar, ofrece advertencias que contienen enlaces de referencia útiles a la documentación relevante para la reparación, así como enlaces a módulos de msfconsole que automatizan el exploit indexado.

vulnerabilidades 10 sitios para encontrar vulnerabilidades

Por ejemplo, desde la revelación pública de CVE-2018-15473, el ya mencionado exploit de enumeración de nombres de usuario SSH, el hacker puede ser encontrado en msfconsole y ejecutado con gran facilidad.

NIST

El Instituto Nacional de Estándares y Tecnología (NIST) es uno de los laboratorios de ciencias físicas más antiguos de los Estados Unidos. Actualmente está involucrado en una miríada de tecnologías e investigaciones tales como su iniciativa nacional para la educación en ciberseguridad, el archivo CVE, noticias de tecnología de punta y el programa de ciencias de la información cuántica. Cualquiera puede buscar en su base de datos CVE.

Packet Storm Security

Packet Storm Security no es exactamente una base de datos de exploits en la que se puedan realizar búsquedas. Más bien, es un recurso general de información relacionada con las advertencias y correcciones de vulnerabilidad. El sitio web de Packet Storm también ofrece noticias de hackers, informes de investigación y un feed de CVEs recientemente revelados.

vulnerabilidades 10 sitios para encontrar vulnerabilidades

Exploit Database

La Base de Datos de Explotación es mantenida actualmente por la organización de Seguridad Ofensiva que se especializa en la explotación avanzada de Windows, seguridad de aplicaciones web, y varios entrenamientos prominentes de certificación de probadores de penetración.

vulnerabilidades 10 sitios para encontrar vulnerabilidades

Su base de datos con capacidad de búsqueda cuenta actualmente con una colección de más de 40.000 exploits remotos, locales, de aplicaciones web y de denegación de servicio, así como una base de datos de hacking de Google, informes de investigación y una función de búsqueda en la base de datos.

Vulners

Vulners, fundada por Kir Ermakov, es una base de datos CVE que actualmente contiene más de 176.500 exploits indexados. Su sitio web incluye estadísticas CVE, un auditor de gestión de vulnerabilidades de Linux y una base de datos CVE con capacidad de búsqueda.

vulnerabilidades 10 sitios para encontrar vulnerabilidades

MITRE

Su sitio web hace hincapié en las publicaciones comerciales y la información relacionada con sus FFRDC, como el Programa Nacional de Ciberseguridad. También mantiene una de las bases de datos CVE más grandes y ampliamente referenciadas actualmente disponibles, en la que el público puede realizar búsquedas.

Reader Interactions

Deja un comentario

Tu dirección de correo electrónico no será publicada.

About David Moya

Apasionado de la Seguridad Informática, aprendiendo en todo momento y profundizando en el mundo web y en el posicionamiento en buscadores.

Share This