Wer regelmäßig nach Schwachstellen recherchieren muss, braucht eine schnelle, umfassende und relevante Suchmaschine um schnell im Rahmen eines Penetrationstests bekannte Schwachstellen finden zu können. Bisher gab es ein großes Angebot an mehr oder weniger vernetzten Datenbanken wie die OSVDB oder die NVD-Datenbank des NIST. Darüber hinaus gibt es die Exploit-Database von Offensive Security, die sich durch direkt verlinkte Exploits zu den Schwachstellen abhebt.
Das Hasso-Plattner-Institut hat die Vulnerability Database VDB veröffentlicht, die viele Datenbanken zusammenfassen soll. Die Nutzung ist nach einer Registrierung ohne Realdaten kostenlos.
Wie hilfreich ist die Datenbank für Penetrationstester?
Die HPI-VDB hat nicht den Anspruch die Exploit-DB zu ersetzen, direkte Links zu den zugehörigen Exploits gibt es nicht. Da es sich um eine reine Schwachstellen-Datenbank handelt, muss sich die VDB aber auch nicht mit Exploit-Datenbanken messen. Bleibt die Suchfunktion, um im Rahmen der Informationsbeschaffung erkannte Programme und Versionsnummern mit Schwachstellen zu korrelieren.
Und genau dort bietet die VDB bereits einen sehr praktischen Vorteil. Eine funktionierende Freitext-Suche. Und schnell ist die Suche, was rein subjektiv betrachtet bei anderen Datenbanken zu Stoßzeiten nicht immer der Fall ist.
Darüber hinaus bietet die VDB Vor- und Nachbedingungen in einem XML-Format, die maschinell ausgewertet werden können. Zugang zu einer API ist auf Anfrage per E-Mail laut FAQ möglich. Folgend zwei Screenshots der Datenbank (der zweite ist gekürzt).
Habt ihr die VDB schon ausprobiert? Was haltet ihr von dem Projekt?
