thevita 最近的时间轴更新 thevita 最近的时间轴更新 |
thevitaV2EX 第 163112 号会员,加入于 2016-03-13 15:36:28 +08:00今日活跃度排名 7164 |
thevita 最近回复了
6 小时 56 分钟前 回复了 acbot 创建的主题 › 信息安全 › 关于安全漏洞的一些问题 |
而对于那些已经编译过的产品的漏洞发现 并不像你想的那么难,开源软件的漏洞挖掘也没有你以为的 看源代码那么简单, 有几个问题会导致这个情况, 1) 代码量太大,即使开源软件也不太可能一行行去看代码, 往往会带有一定目的性 2) 肉眼可见的漏洞往往是少数,这种漏洞基本上通过一些 代码质量工具 就能有提示, 3) 更多的需要你对 计算机\目标平台\目标软件业务 有或多或少的了解, 简单说既要全局又要细节, 思维模式上和正向开发的思维是不太一样,
-- 需要反汇编去分析吗?某些时候需求,某些时候也确实是要分析一些详细逻辑的,但会带有一定的针对性,下面说
-- 有哪些套路: a) fuzz, 这是现在漏洞发掘主要的手段之一, b) 总结历史一些漏洞出现的 pattern ,再依据这些 pattern 或依据人工或依靠工具 去发现类似的漏洞, c) 某些时候也可能要开一些脑动, 整体就是,搜索空间无比巨大, 要用一些方式来提高效率
漏洞的详细情况,产品方一般是不会说的,一方面,有确实延缓传播的意图,二一方面有法律法规上的限制,如果只是修复,看产品商就可以了
一些历史的有利用价值、有启发性、有意思的漏洞, 你 google 一下还是有的,应该不难
比较新的,或者比较鸡肋的,利用有难度的(很多漏洞只在理论上存在利用可能),影响范围小的 可能就没有了
-- 需要反汇编去分析吗?某些时候需求,某些时候也确实是要分析一些详细逻辑的,但会带有一定的针对性,下面说
-- 有哪些套路: a) fuzz, 这是现在漏洞发掘主要的手段之一, b) 总结历史一些漏洞出现的 pattern ,再依据这些 pattern 或依据人工或依靠工具 去发现类似的漏洞, c) 某些时候也可能要开一些脑动, 整体就是,搜索空间无比巨大, 要用一些方式来提高效率
漏洞的详细情况,产品方一般是不会说的,一方面,有确实延缓传播的意图,二一方面有法律法规上的限制,如果只是修复,看产品商就可以了
一些历史的有利用价值、有启发性、有意思的漏洞, 你 google 一下还是有的,应该不难
比较新的,或者比较鸡肋的,利用有难度的(很多漏洞只在理论上存在利用可能),影响范围小的 可能就没有了
1 天前 回复了 cusuanan 创建的主题 › Windows › Win11 史诗级更新,状态栏窗口不再合并 |
不好吗,感觉挺好啊,我用 win10 也开了合并,可以搭配下三方的窗口管理器
6 天前 回复了 ccde8259 创建的主题 › 程序员 › 部署方案搞得花里胡哨并不会有什么好处,只会陷入失控 |
怎么就得出`不会有什么好处` 的结论呢?最多就是他解决的不是你的问题而已
21 天前 回复了 iorilu 创建的主题 › 程序员 › 有多少人完全使用命令行管理 git 得 |
@unco020511 mr/pr 不是 gitlab/github 的功能么, 这还用插件?
---
感觉没必要完全 gui/cli, 这两者对 git 来说又不是互斥的选项, 我都是一起用的,那个顺手用哪个, 比如解决冲突就会选择切换到 gui 来
---
感觉没必要完全 gui/cli, 这两者对 git 来说又不是互斥的选项, 我都是一起用的,那个顺手用哪个, 比如解决冲突就会选择切换到 gui 来
23 天前 回复了 keepabc 创建的主题 › 程序员 › 遇到这样的好公司,就嫁了吧 |
国内环境,服务行业节假日不放假不算什么吧,(如果你是后端,那确实福报)
26 天前 回复了 kirkge 创建的主题 › 程序员 › 看完《奥本海默》怀疑自己了 |
@Morgan2 因为他故事框架没啥敏感的吧?是 R 级片 是不是因为有少量情欲描写?,这部分事实上 在部分国家上映的时候都有调整
26 天前 回复了 kirkge 创建的主题 › 程序员 › 看完《奥本海默》怀疑自己了 |
《奥本海默》不难懂吧,不需要什么 物理/量子力学 的背景知识,毕竟纪实电影嘛,无非叙事方法上 显得可能有点乱?,但也还好,我是开幕了几分钟才进去的,经历 几分钟 懵逼也能掌握的叙事的方式,后面看起来就没压力了,不过我确实不怎么喜欢,对这种纪实类型比较无感,但并没有让我昏昏欲睡,诺兰还是 nb 的
Select Language