من بسیار به شانس و اقبال عقیده دارم و متوجه شده ام هرچه بیشتر پشتکار و تلاش کنم ، بیشتر شانس می آورم .
به نام خدا
با سلام خدمت دوستانبه نام خدا
امروز در این اموزش بهتون نحوه دریافت CVE رو یاد میدیم /.
گام اول : CVE چیست !؟
CVE یا همون Common Vulnerabilities and Exposures یه سیستم جامع و پیشرفته ثبت باگ استفاده میشه که توسط MITRE اداره میشه /.
MITRE یا MITRE.ORG وظیفه دریافت کد مخفف متناسب با اسیب پذیری بهتون میده که براش ارسال میکنید .
( بطور کلی کلاس کاری خوبی به اکسپلویت شما میده )
نحوه دریافت CVE برای اسیب پذیری هاMITRE یا MITRE.ORG وظیفه دریافت کد مخفف متناسب با اسیب پذیری بهتون میده که براش ارسال میکنید .
( بطور کلی کلاس کاری خوبی به اکسپلویت شما میده )
شما برای دریافت کد از
MITRE باید یه سری توضیحات کامل از اسیب پذیری ( هر اسیب پذیری باشه تحت وب , نرم افزاری , سیستمی ) به ایمیل
cve-assign@mitre.org ارسال کنید .به طور مثال /
فرض می کنیم که من از یک نرم افزار ۶ باگ Buffer Overflow و ۲ باگ Format String پیدا کردم. این ۸ باگ رو با مکاتبه با این سیستم ارائه می دم. اگر باگ ها خیلی خاص و تأثیر گذار نباشن ۲ CVE به من داده میشه. یکی برای Format String ها و یکی هم برای Buffer Overflow ها به این عمل CVE-Merging هم گفته میشه به این صورت تمام اون هایی که از یک نوع هستن اگر نیاز نباشه در یک CVE لحاظ میشن. بسیار خوب حالا من 2 کد CVE دارم که به راحتی می تونم این issue ها رو هر جایی که لازم باشه عنوان کنم. فرضاً اکسپلویتی برای این مورد نوشتم دیگه نیازی نیست توضیح خیلی زیادی بدم فقط میام و این CVE رو در اکسپلویتم قرار می دم کافیه فردی که می خواد اطلاعاتی در مورد این باگ داشته باشه کد رو سرچ کنه توی دیتابیس MITRE یا جاهای دیگه که ثبت میشه و اطلاعات رو به دست بیاره.
ممکنه vendor بخواد فیکس کنه این موارد رو که به راحتی تو توضیحات فیکس می نویسه مثلاً طبق فلان CVE این فیکس انجام شده.
به این صورت میبینیم که ردگیری حفره ها بسیار ساده میشه.
اما نکته هایی رو باید عرض کنم.
مورد اول اینکه این کد با اینکه عمومیت داره اما معمولاً برای هر آسیب پذیری استفاده نمیشه. سعی کنید اگر می خواید این پروسه رو انجام بدید باگ هایی رو برای این موارد بفرستید که سیستم هدفتون معروف باشه. مثلاً یک CMS که برا نمی دونم ۴ تا سایت چینی هست و یک باگ داره نیازی به این کد آنچنان نداره چون نه فیکسی براش ممکنه انجام بشه و نه اینکه کارایی خاصی داشته باشه. اما نرم افزار های سیستمی یا کاربردی که در سیستم عامل ها وجود دارن عموما قادر به دریافت یک CVE هستن.
مورد دوم اینکه ممکنه به ظاهر این تنها برای اعلان یک آسیب پذیری استفاده بشه اما استفاده عمده ای که از CVE میشه در فیکس ها هستش. آسیب پذیری ها طبقه بندی میشن و پروسه اصلاح یک نرم افزار به خوبی انجام میشه.
مورد سوم در این باره هستش که بعضی از شرکت ها بر اساس قراردادی که با MITRE دارن بلاک هایی از این کد رو رزرو می کنن و برای خودشون استفاده می کنن. فرضاً شرکت RED HAT بلاک های ۵۰۰ تایی رو عموما دریافت می کنه و برای موارد بسیاری استفاده میکنه.
در مورد نرم*افزار ها و کد های اوپن سورس هم می تونید از میل لیست oss-security استفاده کنید.
این میل لیست توسط شرکت RED HAT هم کنترل میشه به همین خاطر در حال حاضر فردی به نام Kurt Seifried الان به درخواست هایی که به صورت [CVE Request] ارسال بشن CVE تخصیص میده.
اطلاعات دیتابیس MITRE ممکن هست که همون موقع آپدیت نشه ( به دلیل حجم بالای درخواست ها ) که اگر CVE گرفته باشید محتوی اون CVE با Reserved پر خواهد شد.
میل لیست oss-security از آدرس زیر قابل دسترسی هست و می تونید ثبت نام کنید
به این صورت میبینیم که ردگیری حفره ها بسیار ساده میشه.
اما نکته هایی رو باید عرض کنم.
مورد اول اینکه این کد با اینکه عمومیت داره اما معمولاً برای هر آسیب پذیری استفاده نمیشه. سعی کنید اگر می خواید این پروسه رو انجام بدید باگ هایی رو برای این موارد بفرستید که سیستم هدفتون معروف باشه. مثلاً یک CMS که برا نمی دونم ۴ تا سایت چینی هست و یک باگ داره نیازی به این کد آنچنان نداره چون نه فیکسی براش ممکنه انجام بشه و نه اینکه کارایی خاصی داشته باشه. اما نرم افزار های سیستمی یا کاربردی که در سیستم عامل ها وجود دارن عموما قادر به دریافت یک CVE هستن.
مورد دوم اینکه ممکنه به ظاهر این تنها برای اعلان یک آسیب پذیری استفاده بشه اما استفاده عمده ای که از CVE میشه در فیکس ها هستش. آسیب پذیری ها طبقه بندی میشن و پروسه اصلاح یک نرم افزار به خوبی انجام میشه.
مورد سوم در این باره هستش که بعضی از شرکت ها بر اساس قراردادی که با MITRE دارن بلاک هایی از این کد رو رزرو می کنن و برای خودشون استفاده می کنن. فرضاً شرکت RED HAT بلاک های ۵۰۰ تایی رو عموما دریافت می کنه و برای موارد بسیاری استفاده میکنه.
در مورد نرم*افزار ها و کد های اوپن سورس هم می تونید از میل لیست oss-security استفاده کنید.
این میل لیست توسط شرکت RED HAT هم کنترل میشه به همین خاطر در حال حاضر فردی به نام Kurt Seifried الان به درخواست هایی که به صورت [CVE Request] ارسال بشن CVE تخصیص میده.
اطلاعات دیتابیس MITRE ممکن هست که همون موقع آپدیت نشه ( به دلیل حجم بالای درخواست ها ) که اگر CVE گرفته باشید محتوی اون CVE با Reserved پر خواهد شد.
میل لیست oss-security از آدرس زیر قابل دسترسی هست و می تونید ثبت نام کنید
( طی مذاکراتی که کردم و برای سهولت کار برای دریافت CVE این پروسه توسط تیم انجام میشه کماکان اسیب پذیری ها رو به ایمیل تیم Research@linux-zone.org بفرستید . )