製品名とバージョンで脆弱性を取得する方法

脆弱性管理ツールは、まさにこの機能を実行するように設計されています。通常、デバイスをスキャンし、既知のパッチレベルやCVEに対してバージョンをルックアップできます。

幅広い機能を備えた選択肢は非常にたくさんあります。

CVEデータベースの横で確認する最も重要なソースは次のとおりです。

• エクスプロイトDB
• Metasploitエクスプロイトリポジトリ

製品名とバージョンのcsvファイルを取得し、これらのソースでそれらを検索することができる（または独自に作成できる）いくつかのツールもあります。

使用するツールは、OpenVAS、Nessus、Metasploitなどの脆弱性スキャナーです。現在、すべてのサードパーティソフトウェアがそこにあるわけではありません。それ以外に、いくつかの支援を提供するgithub上のスクリプトがあります。

手動で検索するかスクリプトを作成するのに適したサイト https://cve.mitre.org/find/

Linuxの場合： https://github.com/clearlinux/cve-check-tool （CVEキャッシュのローカルコピーが必要）CVEのローカルデータベース用のツール https：// github .com/cve-search/cve-search

私は最新のウィンドウを見つけるのにあまり運がありませんでしたが、調べることをお勧めします。

さらにもっと。

Nmapにはこのためのスクリプトがあります。 Nmap NSE Vulscan（ http://www.computec.ch/mruef/software/nmap_nse_vulscan-1.0.tar.gz ）と呼ばれるNSEスクリプトターゲットマシンから取得したバージョン情報を、www.cve.mitre.org、OSCDB www.osvdb.org、scip VulDB www.scip.ch/?vuldb、www.SecurityFocusのCVEなどの脆弱性データベースとマッピングするには、 com、およびwww.securitytracker.com

https://vulners.com/ 製品のバージョン番号を検索します。

Vulnersは基本的に、CVEと脆弱性レポート、およびインターネット全体からのセキュリティを重視したブログと投稿を列挙します。次に、これらのドキュメントに含まれている可能性があるものを検索できます。

堅牢なAPIを使用して使い始めました。脆弱性スキャナーをセットアップする方法もあると思います。