做安全研究挖不到漏洞,很迷惘?

01-23

現在的安全從業者,有很多都選擇了做安全研究
我也是其中一員,而且是很菜的那一類
但是大型軟體和系統的漏洞數量是有限的
而且挖掘起來往往非常困難
我現在就一個都挖不到,特別迷惘痛苦。

當時入行時,看著各路大牛各顯神通,系統,瀏覽器,大型框架的漏洞幾乎是隨意挖掘
做著ctf的賽題感覺挖漏洞也不會太難,然而現實殘酷。
那麼沒有挖到漏洞的安全研究員/從業者過著什麼樣的生活呢?
不僅僅是平時的kpi,當跳槽時簡歷上空空蕩蕩,一個大廠cve編號都沒有的時候,我都不敢想像以後的出路了。

首先，「大型軟體和系統的漏洞數量是有限的」這個觀點需要糾正。安全是動態的，除非一個軟體永遠不升級，否則每個升級都可能引入新漏洞。而即使一個軟體永遠不升級，軟體運行環境的升級、與之耦合的其它軟體的升級，也都可能導致以前不存在的問題。

CTF 的題目，是有意設計出來的，目標是讓多數選手能在幾個小時到十幾個小時內找出來；而現實中的漏洞，是無意產生的，可能很容易發現，也可能極其隱蔽。對於比較著名的軟體來說，因為廠商的安全水平通常會高一些，更重要的是有全世界的安全研究者盯著，所以能留到讓你去發現的漏洞可能不會很簡單。

在探索未知時，信念很重要。你在解 CTF 的 Pwn 題時，是確知一定有漏洞的，是知道有人在一間黑屋子裡放了一個金幣的。但在現實中挖掘漏洞時，就像邁入了一片無邊無際的黑森林，不知道哪裡有路，不知道前方是什麼，什麼都不知道。如果信念不足，很可能會在距離金幣幾步之遙的地方退縮。

我們實驗室有幾個同學，之前在學校幾乎沒接觸過 Windows 的漏洞，但半年多之後，就能在一線軟體中發現很多問題了。他們做了一個項目，在全世界一半的殺毒軟體中都發現了安全漏洞。今年我們在 Pwn2Own 上用的漏洞，我只在漏洞利用上給了一些建議，漏洞挖掘過程基本沒有參與，全是這些同學們自己做的。

還有個同學，在學校的時候甚至沒怎麼做過實際的漏洞挖掘。但在經歷了一段不算太長的鑽研過程後，現在大概每年 100 個 CVE。

剛開始做漏洞研究，幾乎都必須經歷一個需要大量學習練習，並需要在產出不理想的狀態下對抗自我懷疑的陣痛期。這個階段一定要堅持住。建議你和導師或者直接上級聊一聊，他們應該可以給你一些方向上的建議，幫助你建立信心。

瀉藥，我覺得TK教主這裡基本都說到了。

實際場景和CTF最大的區別就是，CTF一定有解，即便是多難的題，多複雜多難的利用，你起碼知道一定有漏洞，這樣一來就有很多辦法來簡化這個過程。

而實際場景不一樣，首先你不知道目標是不是真的有漏洞，很多CTF里會願意深入思考的漏洞點都不會嘗試，很可能你離漏洞就差一點兒。

其次就是在挖掘漏洞的時候，你面對的是很多經過很多人測試，經過很多考驗的東西，這樣一來，挖掘漏洞本身就是一件不太容易的事情，還是以復現漏洞為主，逐漸積累見識，積累經驗。

最後，你可以找一些很小的，很新的東西開始挖掘漏洞，能挖到漏洞也算是給自己一個鼓勵:&>

ps: 我這樣一個彩筆強答這題感覺好艱難...

放一段學長的話，共勉。

tombkeeper居然能寫這麼多字回答一個這麼簡單的帖子。

我覺得tk說的最後一句很好"需要在產出不理想的狀態下對抗自我懷疑的陣痛期"

我補充一句就是研究老漏洞，用老漏洞練手能很快找到靈感

現在一說起來信息安全競賽，就天天CTF。

競賽的目的是為了你能更好的了解，並學習信息安全知識，不是為了競賽而競賽。

一些人為了比賽而比賽，那就真的沒有什麼意思了。

我經常告訴學弟們說。。。CTF是讓你入進信息安全的大門，別入坑，這個坑太深。

當然我們也不是強隊，看見藍蓮花的大佬們，我也膜拜。

但我更希望身邊的大家能夯實的信息安全知識，成績有的話最好，沒有的話，重在參與。

前兩天看了一篇文章叫黑客之死

現在的這一代人，每天喊著挖洞挖洞挖洞，沒有扎紮實實的基本功，上來就一堆工具亂搞

與當年哪一代的信息安全愛好者們真的不能比。

如大家所說:

需要沉澱的東西太多。

我覺得是方法或者方向不對

所有的一切都說明還需要沉澱。

web狗來答一波今年四月末接觸src的吧感覺滿滿的套路從四月到目前也算刷過幾個src 如果搞web 首先要熟悉業務知道有什麼功能才方便下手其次呢有好多好多沒測試就上線的啊畢竟甲方都是業務為主導找到一個就發了然後呢我自己挖洞的時候都是很專一的挖比如最近看了jsonp劫持就重點關注callback這一塊啊不同時期挖的東西不一樣然後就是挖的越多腦洞就越開多看別人的挖掘思路～手打很難受反正沒多少人看不寫了……

ctf是已經知道存在漏洞信心滿滿

cve是走迷宮，而且還tm是有霧的

因此你要做的就是增加信心、多做技術沉澱

可以先從別人的cve分析開始。

學習主要解決的是方法論的建立。最難的是先找到漏洞，這個可以看看袁哥在i春秋上開的課程

別人的建議都不錯，我談談自己的看法，輕量級的。

先給你點平衡，哥也一直沒CVE, 哈哈，CVE對於白帽意義比較大，當然哥不帶帽子。我覺得你是沒方法心裡沒底，才失落。用石油勘探做類比，地形和地層就是漏洞背後的系統，哪裡能有石油呢

方法:

1: 先打開CWE LIST，選出一個你感興趣的

類型.(假設不同品質石油)

2: 確定坐標(具體的邏輯處理模塊，dll, so …)。

3: 寫出監控調試腳本(定製打井挖掘機)

4:重複以上直到發現漏洞。

其實這流程的基礎是

地形的廣度，

地質的深度。

不知道誰邀的，萌新表示很害怕

-------------------------------------------------------------------------

CTF中的漏洞是你能確定存在的，即使你可能不知道具體在哪兒，實戰中的漏洞是你無法確定是否存在的，並且涉及到的面比CTF廣的多。

大概就像精靈師傅說的，說明還需要沉澱

烏雲之前的洞你一個一個去復現，1000個。就可以了。

看大佬們激揚文字，菜雞吃瓜。

你是不是沒找對地方啊。。

我覺得新站（36kr next 上面找）的洞一堆一堆的啊（不過小廠無力支付那麼多報酬，就當自我滿足了）。。。

瀉藥

漏洞是無窮無盡的，除非不更新或者是直接完全隔絕，

個人是半個腳本小子的水平吧，高見談不上，

個人挖漏洞一開始是關鍵字，烏雲時期刷RANK（初中生，就看著錢了）

後來開始撞黑盒，再後來玩審計

TK教主說的不錯。

好好努力，好好沉澱

沒事幹干黑盒看看文思路就有了

用手工找？現在基本上都是軟體自動來測試

我最近也挖不到了啊各種找思路，不是我挖不倒了你懂的

挖不到很正常，技術差不多的話很多時候運氣佔一部分

所以有一種針對挖不到漏洞的測試叫模糊測試

可以先從大廠一些不出名的軟體上下手去挖掘。瀏覽器和操作系統的洞上手難度還是挺大的挖不到cve很正常