Analiza rynku bezpieczeństwa IT wykazała, że istnieje mała ilość oprogramowania pozwalającego zautomatyzować czynności związane z bezpieczeństwem. Pod wpływem tego doświadczenia podjęta została decyzja o stworzeniu skanera konfiguracji serwera Web, który jest ogólnodostępnym oprogramowaniem. Projekt został zrealizowany w składzie: Jakub Olszak, Kamil Magryta, Tomasz Motyka. Skaner potrafi wykrywać błędy konfiguracji danego serwera, powiadamiać o nich użytkownika i sugerować sposoby rozwiązania problemów. Należy zaznaczyć, że jest to wczesna wersja projektu, która będzie rozwijana w przyszłości. W ramach wprowadzenia do tematu zostaną przedstawione definicje podstawowych pojęć niezbędnych do zrozumienia treści dokumentu. Aby zrozumieć prezentowany artykuł czytelnik powinien posiadać podstawową wiedzę na temat informatyki. Serwer Web w zwięzłym znaczeniu jest oprogramowaniem, które ‘rozumie’ adresy URL i protokół HTTP. Rola serwera Web polega na udzielaniu przewidzianych przez protokół odpowiedzi na zapytania klienta formułowane przy pomocy protokołu HTTP[4]. Protokół HTTP jest to protokół komunikacyjny służący do przesyłania dokumentów hipertekstowych. Za pomocą protokołu HTTP przesyła się głównie żądania udostępnienia dokumentów WWW. Jest to protokół bezstanowy, tzn. ani serwer, ani klient nie przechowuje informacji o tym, jakie zapytania klient kierował do serwera w przeszłości. Tę bezstanowość można obecnie obejść przy pomocy tzw. ciasteczek[2]. Używane w projekcie metody protokołu HTTP: - GET - pobranie zawartości - POST - wysłanie informacji - PUT - umieszczenie pliku/folderu - DELETE - usunięcie pliku/folderu - HEAD - pobranie samych nagłówków - TRACE - wykonanie echa żądania 2. ANALIZA ISTNIEJĄCYCH ROZWIĄZAŃ Przeanalizowane zostały dwa popularne skanery konfiguracji serwerów HTTP: - Nikto jest najpopularn[...]

  Artykuł [1] pokazuje szeroki zakres źródeł informacji o podatnościach, nie analizując jednakże źródeł informacji o poprawkach i aktualizacjach, stworzonych w celu wyeliminowania podatności. Nie analizowano także źródeł podających informacje o podatnościach tylko dla jednego rodzaju oprogramowania. Celem było wyodrębnienie jednego źródła, które będzie w stanie dostarczyć jak najszerszy zakres wiedzy o istniejących podatnościach. Jednakże, gdybyśmy chcieli użyć powyższych informacji w rzeczywistym systemie, co jest celem naszych dalszych działań, okazałoby się, że zakres dostarczanych przez to źródło informacji nie jest wystarczający. Ostatnie nasze badania pokazują, że konieczne jest pozyskiwanie danych z wielu dodatkowych źródeł w celu skutecznego wdrożenia mechanizmów zarządzania oprogramowaniem w kontekście cyberbezpieczeństwa. Istnieje zatem potrzeba korzystania również ze źródeł dostarczanych bezpośrednio przez twórców oprogramowania, jak również niezależnych analityków bezpieczeństwa. Warto podkreślić, że od czasu analizy opisanej w przywoływanym artykule, w wielu analizowanych źródłach zaszły istotne zmiany lub rozszerzenia, co z jednej strony odzwierciedla dynamiczny charakter tych źródeł, jak i całej problematyki nadzoru nad podatnościami, a z drugiej strony wymusza przeprowadzenie ponownej ich analizy w stosunku do niektórych obszarów. W niniejszym artykule dokonano bardziej szczegółowej analizy w celu wskazania źródeł tych informacji, które mogłyby okazać się przydatne dla kompleksowego systemu zarządzania podatnościami. Pomimo, że możliwe jest wyszukanie w Internecie wielu danych w stosunku do konkretnej podatności, czy poprawki bezpieczeństwa, to konieczne jest dokonanie tego przez analityka, a co więcej, nie jest to osiągalne w przypadku każdej podatności. Wobec tego, zaprezentowane przez autorów podejście zakłada analizę tych źródeł, które umożliwiają pozyskiwanie informacji w sposób automatyczny, to znaczy[...]