La enumeración de vulnerabilidades comunes son un listado de vulnerabilidades que se encuentran en un software y son registrados por una entidad que las hace pública.
Cuál es la diferencia de un CWE Y CVE
El objetivo del CWE es facilitar el uso eficaz de herramientas que puedan identificar, encontrar y resolver errores, vulnerabilidades y exposiciones en el software informático antes de que los programas se distribuyan o vendan públicamente.
Cuadro de diferencias entre CWE Y CVE
CWE (Common Weakness Enumeration)
CVE (Common Vulnerability Exposure)
Es una entrada en la base de datos correspondiente a una debilidad y no está relacionado con un producto o sistema.
Es una entrada en la lista de vulnerabilidades, es decir, es una instancia específica de una debilidad en un producto o sistema.
Se clasifican las vulnerabilidades por medio de códigos: CWE-89
Tiene un conjunto único que identifica a una vulnerabilidad: CVE-2017-0144
La enumeración está enfocada en la recopilación información que ayuda al Pentester o a los equipos de ciberseguridad a encontrar puntos débiles en el sistema. Es la primera tarea que debería hacer un Pentester.
Algunos tipos de enumeración a la hora de hacer Pentesting🔎
DNS Enumeration
NetBIOS Enumeration
Windows Enumeration
SNMP Enumeration
NTP Enumeration
Contribución creada por: Angie Espinoza (Platzi Contributor), con los aportes de GTBche.
++CWE++: Common Weakness Enumeration:
Es una entrada en la base de datos correspondiente a una debilidad y no está relacionado con un producto o sistema.
++CVE++: Common Vulnerability Exposure:
Es una entrada en la lista de vulnerabilidades, es decir, es una instancia específica de una debilidad en un producto o sistema.
CWE
Es una lista desarrollada por la comunidad de debilidades comunes de seguridad de software, sirve como un lenguaje común, una vara de medir para las herramientas de seguridad de software y como una línea de base para los esfuerzos de mitigación y prevención de identificación de debilidades.
Yo ya conocía el cwe-79 que corresponde a la vulnerabilidad Cross-site scripting (XSS) pueden verla aquí.
Es muy común y fácil de explotar e identificar ;)
Conocía la vulnerabillidad de SQL injection, una de las mas comúnes en el desarrollo de software
aqui mas información
CWE Common Weaknes Enumeration ( Sistema de enumeración de vulnerabilidades comunes, es un registro de vulnerabilidades clasificadas )
CVE Common vulnerabilities and exposures (Registra vulnerabilidades de manera unica)
Diferencias entre CWE y CVE
Es una entrada en la base de datos correspondiente a una debilidad y no está relacionado con un producto o sistema.
Se clasifican las vulnerabilidades por medio de códigos: CWE-89
Es una entrada en la lista de vulnerabilidades, es decir, es una instancia específica de una debilidad en un producto o sistema.
Tiene un conjunto único que identifica a una vulnerabilidad: CVE-2017-0144
gracias por tu aporte alejandro
La verdad, no conozco ninguno.
<u>SQL Injection</u> entendido en la practica
ninguno
Interesante La Información Sobre El Sitio web CWE no conocia este tipo pero ahora podré visualizar las más comunes.
no conozco ninguno la verdad
Realmente tenemos un gran reto por delante ya que al ritmo que estamos avanzando en tecnologías en el mundo, así igualmente las vulnerabilidades se vuelven mucho mas complejas. Excelente clase. Saludos
CWE clasifica las vulnerabilidades en una lista bien organizada y estructurada, lo que facilita la comprensión, priorización y mitigación de los problemas de seguridad en los sistemas de software. Cada entrada en la lista CWE incluye un identificador único, una descripción de la debilidad e información sobre cómo prevenirla o mitigarla.
Este enfoque estandarizado mejora la comunicación y la colaboración entre las partes interesadas en el campo de la ciberseguridad.
gracias por tu aporte cristina
CVE (Common Vulnerabilities and Exposures) y CWE (Common Weakness Enumeration) son dos conceptos clave en seguridad informática, pero cumplen funciones diferentes:
CVE: Se refiere a vulnerabilidades específicas descubiertas en software. Cada CVE tiene un identificador único que ayuda a los profesionales a referirse a vulnerabilidades conocidas.
CWE: Es una lista de debilidades de diseño y programación que pueden dar lugar a vulnerabilidades. Identifica fallas comunes en el código que pueden ser explotadas.
En resumen, CVE se enfoca en vulnerabilidades concretas y CWE en debilidades que pueden causar esas vulnerabilidades.
gracias por tu aporte carlos
excelente clase
Gracias
intersesante
no conozco ninguno la verdad.
Conocía la vulnerabilidad de SQL Injection y la vulnerabilidad de Inyección por consola/comandos.
¿Qué significa CWE?
CWE (Common Weakness Enumeration) es una lista de tipos de debilidades de software dirigida a desarrolladores y profesionales de la seguridad. Fue creada al igual que CVE para unificar la descripción de las debilidades de seguridad de software en cuanto a arquitectura, diseño y código se refiere.