Introduction

HPI-VDB ist das Ergebnis von Forschungsarbeiten bei unserem Lehrstuhl ''Internet-Technologien und -Systeme'' am Hasso-Plattner-Institut. Es ist eine umfassende und selbst aktualisierende Datenbank, die eine große Anzahl bekannter Sicherheitslücken von Software enthält. Die Software-Sicherheitsanfälligkeiten werden im Internet gesammelt, ausgewertet, normalisiert und in einer hoch-performanten Datenbank zentralisiert. Die textbasierten Fehlerbeschreibungen über jede Softwareverwundbarkeit werden aus öffentlichen Portalen anderer Datenbanken, von Softwareherstellern und aus anderen Quellen erzeugt. Ein struk-turiertes Datenmodell verwaltet diese Einträge und macht sie maschinenlesbar der Öffentlichkeit zugänglich. Daraus ergeben sich dann mehrere interessante Zugriffmöglichkeiten, z. B.:

  • Browsing;
  • Suche;
  • Selbst-Diagnose;
  • Attack-Graphen und weiteres

Darüber hinaus bieten wir verschiedene APIs für Softwareentwickler an, um unsere Datenbank an ihre Systeme an- und einzubinden.

Eigenschaften

  • Strukturierte Darstellung bekannter Sicherheitslücken;
  • API für Programme der Sicherheit Analytik und vielen anderen Zweck
  • Such-Funktionalität mit CVE-ID, CWE-ID, CPE-ID, Volltext-, ...
  • Addon Services (Login erforderlich): Erstellung von Exporten, Selbstdiagnose, Angriffsgraphen, ...
  • Tägliche Aktualisierungen, um die neuesten veröffentlichten / bestätigten Verwundbarkeiten zu importieren
  • am 10. Okt. 2015, wurden bereits 71.920 Schwachstellen und über 174.480 Programme registriert
  • Statistik, Visualisierung und Analyse

Veröffentlichungen

  • F. Cheng, S. Roschke, Ch. Meinel, An Integrated Network Scanning Tool for Attack Graph Construction, in Proceedings of the 6th International Conference on Grid and Pervasive Computing (GPC'11), Springer LNCS 6646, Oulu, Finland, May 11-13, 2011.
  • S. Roschke, F. Cheng, Ch. Meinel, Using Vulnerability Information and Attack Graphs for Intrusion Detection , in Proceedings of the 6th International Conference on Information Assurance and Security(IAS'10), IEEE Press, Atlanta, USA, August 23-25, 2010.
  • F. Cheng, S. Roschke, R. Schuppenies, Ch. Meinel, Remodeling Vulnerability Information, in Post-Proceedings (selected revised paper) of the 5th SKLOIS Conference on Information Security and Cryptology (INSCRYPT'09), Springer LNCS 6151. Beijing, China. December 12 - 15, 2009.
  • S. Roschke, F. Cheng, R. Schuppenies, Ch. Meinel, Towards Unifying Vulnerability Information for Attack Graph Construction, in Proceedings of the 12th  Information Security Conference (ISC'09), Springer LNCS 5735, Pisa, Italy, September 7 - 9, 2009.
  • Robert Schuppenies, MSc.: Automatic Extraction of Vulnerability Information for Attack Graphs, HPI Master Thesis,Mar. 2009, 

Kontakt

IT-Security Engineering Team
Hasso-Plattner-Institute
Prof.-Dr.-Helmert-Str. 2-3
D-14482 Potsdam
Tel.: +49 (0) 331 / 5509-222
Fax.: +49 (0) 331 / 5509-325
Email: hpi-vdb(at)hpi.uni-potsdam.de

Acknowledge

Das HPI-VDB-Portal sowie die einschlägigen Forschungsarbeiten sind non-Profit. Die Daten und Dienste sind alle kostenlos und dürfen nur für den persönlichen und nicht kommerziellen Gebrauch verwendet werden. Wir danken:

  • Frühere Mitglieder des Teams: Robert Schuppenies und Sebastian Roschke (mittlerweile angestellt bei Google Inc., in Mountain View, USA), für ihre explorativen Erkenntnisse in diesem Projekt;
  • HPI Master-Studenten-Team: Marian Gawron, Anton Gulenko, Patrick Schulze, Gary Yao, für die Entwicklung des ersten Prototyps von HPI-VDB;
  • SAP SE und HPI FutureSoC Lab bietet für uns die Hard-und Software, insbesondere die mo-derne HPI HANA-Datenbank;
  • vielen anderen öffentlichen SDBs und Softwareanbieter, z. B. NVD, OSVDB, Secunia, CERT, OVAL, SecurityFocus, Microsoft Security Bulletins, Google Security Notes, SAP Security Notes, usw.