做安全研究挖不到漏洞,很迷惘?
現在的安全從業者,有很多都選擇了做安全研究
我也是其中一員,而且是很菜的那一類
但是大型軟體和系統的漏洞數量是有限的
而且挖掘起來往往非常困難
我現在就一個都挖不到,特別迷惘痛苦。
當時入行時,看著各路大牛各顯神通,系統,瀏覽器,大型框架的漏洞幾乎是隨意挖掘
做著ctf的賽題 感覺挖漏洞也不會太難,然而 現實殘酷。
那麼沒有挖到漏洞的安全研究員/從業者過著什麼樣的生活呢?
不僅僅是平時的kpi,當跳槽時簡歷上空空蕩蕩,一個大廠cve編號都沒有的時候,我都不敢想像以後的出路了。
首先,「大型軟體和系統的漏洞數量是有限的」這個觀點需要糾正。安全是動態的,除非一個軟體永遠不升級,否則每個升級都可能引入新漏洞。而即使一個軟體永遠不升級,軟體運行環境的升級、與之耦合的其它軟體的升級,也都可能導致以前不存在的問題。
CTF 的題目,是有意設計出來的,目標是讓多數選手能在幾個小時到十幾個小時內找出來;而現實中的漏洞,是無意產生的,可能很容易發現,也可能極其隱蔽。對於比較著名的軟體來說,因為廠商的安全水平通常會高一些,更重要的是有全世界的安全研究者盯著,所以能留到讓你去發現的漏洞可能不會很簡單。
在探索未知時,信念很重要。你在解 CTF 的 Pwn 題時,是確知一定有漏洞的,是知道有人在一間黑屋子裡放了一個金幣的。但在現實中挖掘漏洞時,就像邁入了一片無邊無際的黑森林,不知道哪裡有路,不知道前方是什麼,什麼都不知道。如果信念不足,很可能會在距離金幣幾步之遙的地方退縮。
我們實驗室有幾個同學,之前在學校幾乎沒接觸過 Windows 的漏洞,但半年多之後,就能在一線軟體中發現很多問題了。他們做了一個項目,在全世界一半的殺毒軟體中都發現了安全漏洞。今年我們在 Pwn2Own 上用的漏洞,我只在漏洞利用上給了一些建議,漏洞挖掘過程基本沒有參與,全是這些同學們自己做的。
還有個同學,在學校的時候甚至沒怎麼做過實際的漏洞挖掘。但在經歷了一段不算太長的鑽研過程後,現在大概每年 100 個 CVE。
剛開始做漏洞研究,幾乎都必須經歷一個需要大量學習練習,並需要在產出不理想的狀態下對抗自我懷疑的陣痛期。這個階段一定要堅持住。建議你和導師或者直接上級聊一聊,他們應該可以給你一些方向上的建議,幫助你建立信心。
瀉藥,我覺得TK教主這裡基本都說到了。
實際場景和CTF最大的區別就是,CTF一定有解,即便是多難的題,多複雜多難的利用,你起碼知道一定有漏洞,這樣一來就有很多辦法來簡化這個過程。
而實際場景不一樣,首先你不知道目標是不是真的有漏洞,很多CTF里會願意深入思考的漏洞點都不會嘗試,很可能你離漏洞就差一點兒。
其次就是在挖掘漏洞的時候,你面對的是很多經過很多人測試,經過很多考驗的東西,這樣一來,挖掘漏洞本身就是一件不太容易的事情,還是以復現漏洞為主,逐漸積累見識,積累經驗。
最後,你可以找一些很小的,很新的東西開始挖掘漏洞,能挖到漏洞也算是給自己一個鼓勵:&>
ps: 我這樣一個彩筆強答這題感覺好艱難...
放一段學長的話,共勉。
tombkeeper居然能寫這麼多字 回答一個這麼簡單的帖子。
我覺得tk說的最後一句很好"需要在產出不理想的狀態下對抗自我懷疑的陣痛期"
我補充一句就是研究老漏洞,用老漏洞練手能很快找到靈感
現在一說起來信息安全競賽,就天天CTF。
競賽的目的是為了你能更好的了解,並學習信息安全知識,不是為了競賽而競賽。
一些人為了比賽而比賽,那就真的沒有什麼意思了。
我經常告訴學弟們說。。。CTF是讓你入進信息安全的大門,別入坑,這個坑太深。當然我們也不是強隊,看見藍蓮花的大佬們,我也膜拜。
但我更希望身邊的大家能夯實的信息安全知識,成績有的話最好,沒有的話,重在參與。前兩天看了一篇文章叫 黑客之死
現在的這一代人,每天喊著挖洞挖洞挖洞,沒有扎紮實實的基本功,上來就一堆工具亂搞
與當年哪一代的信息安全愛好者們真的不能比。
如大家所說:
需要沉澱的東西太多。我覺得是方法或者方向不對
所有的一切都說明還需要沉澱。
web狗來答一波 今年四月末接觸src的吧 感覺滿滿的套路 從四月到目前也算刷過幾個src 如果搞web 首先要熟悉業務 知道有什麼功能才方便下手 其次呢 有好多好多沒測試就上線的啊 畢竟甲方都是業務為主導 找到一個就發了 然後呢我自己挖洞的時候都是很專一的挖 比如最近看了jsonp劫持 就重點關注callback這一塊啊 不同時期挖的東西不一樣 然後就是挖的越多 腦洞就越開 多看別人的挖掘思路~ 手打很難受 反正沒多少人看 不寫了……
ctf是已經知道存在漏洞信心滿滿
cve是走迷宮,而且還tm是有霧的因此你要做的就是增加信心、多做技術沉澱
可以先從別人的cve分析開始。學習主要解決的是方法論的建立。最難的是先找到漏洞,這個可以看看袁哥在i春秋上開的課程別人的建議都不錯,我談談自己的看法,輕量級的。
先給你點平衡,哥也一直沒CVE, 哈哈,CVE對於白帽意義比較大,當然哥不帶帽子。我覺得你是沒方法心裡沒底,才失落。用石油勘探做類比,地形和地層就是漏洞背後的系統,哪裡能有石油呢
方法:
1: 先打開CWE LIST,選出一個你感興趣的類型.(假設不同品質石油)2: 確定坐標(具體的邏輯處理模塊,dll, so …)。3: 寫出監控調試腳本(定製打井挖掘機) 4:重複以上直到發現漏洞。其實這流程的基礎是地形的廣度,地質的深度。不知道誰邀的,萌新表示很害怕
-------------------------------------------------------------------------
CTF中的漏洞是你能確定存在的,即使你可能不知道具體在哪兒,實戰中的漏洞是你無法確定是否存在的,並且涉及到的面比CTF廣的多。大概就像精靈師傅說的,說明還需要沉澱烏雲之前的洞你一個一個去復現,1000個。就可以了。
看大佬們激揚文字,菜雞吃瓜。
你是不是沒找對地方啊。。
我覺得新站(36kr next 上面找)的洞一堆一堆的啊(不過小廠無力支付那麼多報酬,就當自我滿足了)。。。
瀉藥
漏洞是無窮無盡的,除非不更新或者是直接完全隔絕,
個人是半個腳本小子的水平吧,高見談不上,
個人挖漏洞一開始是關鍵字,烏雲時期刷RANK(初中生,就看著錢了)
後來開始撞黑盒,再後來玩審計
TK教主說的不錯。
好好努力,好好沉澱
沒事幹干黑盒 看看文 思路就有了
用手工找?現在基本上都是軟體自動來測試
我最近也挖不到了啊 各種找思路,不是我挖不倒了 你懂的
挖不到很正常,技術差不多的話很多時候運氣佔一部分
所以有一種針對挖不到漏洞的測試叫模糊測試
可以先從大廠一些不出名的軟體上下手去挖掘。瀏覽器和操作系統的洞上手難度還是挺大的挖不到cve很正常
推薦閱讀:
※Pwn新手應該如何開始挖掘二進位漏洞(如UAF,stack overflow)?
※關於web滲透,如何才能邁出關鍵的一步?
※DedeCMS 漏洞為何屢修不止?
※有哪些好的fuzzing工具推薦?
TAG:網路安全 | 信息安全 | 安全研究員 | 漏洞挖掘 | CTFCaptureTheFlag |