Blog sobre seguridad informática:
Hacking ético y asuntos de traje y corbata,
todos de interés en este campo profesional
domingo, 25 de mayo de 2008
Listado de los cazadores de vulnerabilidades más prolíficos
Lo leo en el blog de OSVDB, y creo que se merece un poquito de atención: ahora sacan un listado con las 12 personas que reciben el crédito de haber descubierto más vulnerabilidades.
No había visto una clasificación como esta hasta ahora, aunque seguro que ya había algo similar (si sabes de alguna, deja un comentario con el enlace por favor). Llama la atención, por ejemplo, en el caso de los que tienen más créditos en su haber, que las vulnerabilidades son casi siempre de XSS o de SQL Injection, y siempre se refieren a problemas en aplicaciones de web.
Sin quitar mérito a la búsqueda de este tipo de problemas, me parece que el ranking debería ser modificado, o bien no debería ser tenido por nada más que lo que es: un ranking con un número. El que alguien figure en ese top 12 no significa que sea un crack, según lo veo ahora.
Muchos problemas son más difíciles de encontrar que un XSS o un SQL Injection. Con la ayuda de herramientas de análisis de código, como hay hoy en día, esta diferencia es aún mayor. Y el nivel técnico necesario para crear un exploit prueba de concepto, no es el mismo en un XSS que en un buffer overflow (por ejemplo), a mi modo de ver. Así que yo agregaría alguna especie de puntuación que valore este punto, para que este listado fuera más interesante.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario