این سوال به سؤالات قبلی مربوط است: 1 و 2 در مورد محدودیت های آسیب پذیری وب سایت آسیب پذیری / امتیاز آسیب پذیری خودکار. در واقع، آسیب پذیری های به ثمر رساند که در برنامه های مبتنی بر وب و REST شناسایی شده است، به طور مستقیم به جلو و چالش برای به طور خودکار نیست. در حالی که بسته های نرم افزاری با استفاده از CVSS به دست می آیند (به عنوان مثال NVD CVE را برای آسیب پذیری های گزارش شده و امتیاز های مناسب را اختصاص می دهد)، برنامه های کاربردی وب به طور مرکزی ضرب نمی شوند. با این وجود، چندین منبع اطلاعات آسیب پذیری برای برنامه های کاربردی وب وجود دارد که می تواند قدرت را برای مثال داشته باشد. CWE می توانید روش های یادگیری دستگاه مانند برای برطرف کردن این چالش از بروزرسانی متن استفاده می شود، زیرا از چندین مشکل امنیتی در یادگیری دستگاه استفاده می شود؟
یک مثال : اگر یک آسیب پذیری وب سایت شناسایی شده به عنوان توضیح داده شود "یک حمله XSS در پاسخ JSON منعکس شده است، این ممکن است مشتریان محتوا را به حمله آسیب پذیر برساند اگر آنها به طور مناسب اطلاعات را اداره نکنند ( پاسخ] " و CWE Id 79 را تعیین می کند. آیا یک الگوریتم منطبق متن می تواند کلمات کلیدی مشخص را در توضیحات به عنوان مثال "حمله XSS" و "پاسخ JSON" برای تجزیه و تحلیل و محاسبه نمرات شدت با استفاده از منابع به عنوان مثال CWE و CVSS؟
یک تحقیق کوتاه من را به مدل word2vec tensorflow منجر می شود، آیا می تواند به طور بالقوه این چالش را حل کند؟
خوشحال خواهد شد که اگر چنین تکنیک هایی در جامعه امنیت وجود داشته باشد یا اگر این گونه روش ها به روش های خاصی محدود شده باشد 19659005]
این مسئله یک نمونه اوراکل است که با نسخه های قدیمی تر جاوا در دایرکتوری های اوراکل که با آسیب پذیری های متعدد شناخته می شوند، تعبیه شده است. نصب اوراکل جاوا در آوریل 2018 این مسئله را حل نمی کند، زیرا این فهرست ها را لمس نمی کند.
OS: Oracle Linux 7.2
نسخه اوراکل 11.2
نرم افزار مدیریت آسیب پذیری: InsightVM (قبلا به نام Nexpose شناخته می شود)
جاوا در دو دایرکتوری است:
/u01/oracle/product/11.2.0/OPatch/jre – جاوا 1.6.0.65
/u01/oracle/product/11.2.0/jdk/jre – Java 1.5.0.51
ما با پشتیبانی اوراکل تماس گرفتیم و آنها پاسخ دادند که ما نمی توانیم جاوا را درون نمونه اوراکل به روز کنیم. اگر ما انجام دهیم، می توانیم مثال ما و دسترسی به پایگاه داده را شکست دهیم. در InsightVM، می توان استثنائات ایجاد کرد، اما ما به دنبال ایجاد بیش از 500 نفر از آنها هستیم! ما نمی توانیم تنها سازمانی باشیم که به این مسئله برسد. من این سوال را در اینجا قرار می دهم امیدوارم که شخص دیگری مسئله مشابهی داشته باشد و بتواند توصیه ها را به اشتراک بگذارد.
متشکرم.