专栏首页漏洞战争安全研究者的自我修养

安全研究者的自我修养

在上篇文章《推荐今年C3黑客大会上的几个议题》中提到”Attacking Chrome IPC“这个议题,我觉得该议题最大的亮点是在前半场,作者nedwill是之前在Hack2Win大赛上因攻破Chrome浏览器而一战成名,他讲了如何训练漏洞研究能力的过程,讲述自己这几年在漏洞研究上的历程和心得,很励志,其建议也非常具有可操作性,值得效仿学习。我反复看了多遍,对其作了一些总结和补充。

1、刻意练习10000小时

这份“鸡汤”道理,想必大家都懂,就不解释了,不懂的自行百度,或者去读读《异类》这本经典书籍。

作者建议以月为单位来制定研究目标,他曾连续花了6个月的时间来研究Chrome Sandbox,但最终一无所获。

所以,有时坚持了不一定能达到目标,但不坚持,就更没戏了。

2、训练挖洞的双技能

(1)看洞:哪里看?历史漏洞的git log、bug报告、代码质量报告等等

(2)识洞:就是肉眼看代码找漏洞,即代码审计,难点也就是在这上面,训练方法继续往下看

3、代码审计训练

(1)根据自己目标定位,寻找相应的历史漏洞案例进行学习,比如要搞chrome就找chrome的历史漏洞

(2)掌握漏洞所在的模块或子系统,但不看完整的漏洞细节描述,尝试在漏洞版本中找出对应的漏洞

(3)如果(2)中未能找出漏洞,就去看漏洞细节描述,对比自己的审计过程,看遗漏了哪一步骤

(4)不断重复上述训练,直至相信:挖洞只是体力消耗,而非能力问题

这第4点说得,非常励志,因为挖洞挖久了,有时真的容易怀疑自己的能力,目标难度越大,越容易打击人。

作者第一次训练的漏洞是j00ru(Project Zero成员)的IDA漏洞:https://j00ru.vexillium.org/2014/10/secure-2014-slide-deck-and-hex-rays-ida-pro-advisories-published/,2014年的文章了

4、3~5年的训练计划

1~2年:做做 CTF 或 WarGames 题目,网上有很多CTF writeup可以参考学习

2~3年:简单点的目标,就是找相对容易挖的产品

3~5年:困难点的目标

目标的难易程度可以直接参考相应的产品的漏洞奖励计划或私有市场的价格,挑选出一份目标清单,按难易程度排序,逐一去实现它。

5、Fuzzing训练

作者代码审计2年后,才开始尝试Fuzzer开发。

(1)拿已公开的历史漏洞问自己:如何写fuzzer挖掘到此漏洞?

(2)如果自己不知道此漏洞,那又能够挖掘到呢?

(3)不断重复训练并改进fuzzer,相信会有更多漏洞被意外发现

6、努力往往比运气和天赋更重要

虽然挖洞也需要一定运气和天赋,但多数你认为的挖洞天才,其实只不过是花了比你多100倍,甚至更多的时间在这项技术研究上而已

7、进入研究者团队或社区,互相学习

国外的交流氛围会比国内的更好一些,也更愿意分享。

很多时候自己的交流圈,大多是一些熟识的同行,或者同事,一般可交流的人还是比较少的。

经常在网上看到不少人会问,如何认识xx大牛、黑客,但其实很多时候却是:

努力提高自己的专业能力,圈子最终会吸纳你进去认识更多圈内人。

8、建立自己的漏洞信息来源

RSS订阅无疑是自己最好的方式,这个需要依赖平时自己去不断收集订阅。

很多漏洞相关的博文,往往曝露出某些软件新的攻击面,抢占先机就显得尤为重要,比如当年Android stagefirght mp4漏洞、word公式编辑器、adobe图片转换器等等,如果能及时关注并尝试去挖掘,往往可以收获不少漏洞的。

9、收集和学习开源的漏洞挖掘工具

比如afl、honggfuzz、libfuzzer等很多优秀的漏洞挖掘工具,都是值得好好阅读代码,学习其中的fuzzing思路,可以更好地应用到未来的漏洞挖掘研究上。

10、很多不愿搞研究工作的挖洞人,只不过是为了权衡利弊

在《从0到1:开启商业与未来的秘密》一书中有一章叫做“秘密”,漏洞研究可以当作挖掘秘密,为什么人们不探索秘密呢?书中提到4种原因,我觉得同样适用于漏洞研究领域:

(1)渐进主义:把目标定得低一些,更容易取得好成绩;

(2)风险规避:人们害怕秘密是因为怕犯错,除此之外,可能也担心KPI没法完成,又或者挖洞拿到的奖金又该如何跟公司“分赃”呢?

(3)自满:很多时候,某些人可以坐享其成,又何必自己去挖掘秘密;国内研究氛围又喜欢搞营销吹牛逼,牛逼吹多了吹大了,有时连自己都信了;

(4)扁平化:任何一个拥有雄心壮志的人,在涉及某一研究领域之前都会问自己一个问题:如果有可能挖掘到漏洞,难道全球人才库中更加聪明、更加有技术能力的人还没有发现吗?这种怀疑的声音阻止了不少人去探索秘密,从事研究工作,因为身处的世界似乎大到任何个人都无法做出独特的贡献。

结语

今年因个人原因,已从安全研究转向业务安全,深知研究的不易。

相信安全领域有秘密的存在,虽会导致黑产的诞生,但肯定也会因此诞生一些优秀的研究者。

最后以白桦的《船》致敬所有仍在安全研究道路上前进的人,与诸君共勉:

我有过多次这样的奇遇, 从天堂到地狱只在瞬息之间: 每一朵可爱、温柔的浪花 都成了突然崛起、随即倾倒的高山。 每一滴海水都变脸色, 刚刚还是那样的美丽、蔚蓝; 旋涡纠缠着旋涡, 我被抛向高空又投进深渊…… 当时我甚至想到过轻生, 眼前一片苦海无边; 放弃了希望就像放弃了舵柄, 在暴力之下只能沉默和哀叹。 今天我才有资格嘲笑昨天的自己, 为昨天落叶似的惶恐感到羞惭; 虚度了多少年华, 船身多次被礁石撞穿…… 千万次在大洋里撒网, 才捕获到一点点生活的经验, 才恍然大悟, 啊!道理原是如此浅显; 你要航行吗? 必然会有千妖百怪出来阻拦; 暴虐的欺凌是它们的游戏, 制造灭亡是它们唯一的才干。 命中注定我要常常和它们相逢, 因为我的名字叫做船; 面对强大于自身千万倍的对手, 能援救自己的只有清醒和勇敢。 恐惧只能使自己盲目, 盲目只能夸大魔鬼的狰狞嘴脸; 也许我的样子比它们更可怕, 当我以命相拼,一往无前! 只要我还有一根完整的龙骨, 绝不驶进避风的港湾; 把生命放在征途上, 让勇敢来决定道路的宽窄、长短。 我完完全全的自由了, 船头成为埋葬它们的铁铲; 我在波浪中有节奏地跳跃, 就像荡着一个巨大的秋千。 即使它们终于把我撕碎, 变成一些残破的木片, 我不会沉沦,决不! 我还会在浪尖上飞旋。 后来者还会在残片上认出我, 未来的诗人会唱然长叹: “这里有一个幸福的灵魂, 它曾经是一艘前进着的航船……”

本文分享自微信公众号 - 漏洞战争(vulwar),作者:riusksk

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-01-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 安全研究者的自我修养

    在上篇文章《推荐今年C3黑客大会上的几个议题》中提到”Attacking Chrome IPC“这个议题,我觉得该议题最大的亮点是在前半场,作者nedwill是...

    泉哥
  • 漫谈网络安全应急要略

    早上看到朋友圈有人说Metasploit公布BlueKeep远程执行漏洞的利用,一些安全群里也有人喊着加班了,但这漏洞明明很早就已经发布补丁了,现在才加班应急明...

    泉哥
  • 安全研究的价值思考

    最近的Black Hat大会议题ppt已提供下载,里面有两个非技术议题,其视角比较有趣,一些问题值得思考,因此才有本文。

    泉哥
  • 微软谷歌发现新漏洞“变种4” 许多现代芯片将受影响

    据路透社北京时间5月22日报道,微软和谷歌网络安全研究员发现了新的芯片漏洞,该漏洞与今年1月出现的Spectre和Meltdown漏洞有关,将对许多现代计算芯片...

    安恒信息
  • 季度漏洞披露十年来首次下

    统计显示,即使周二补丁中披露了更多的安全漏洞,但是 2020 年第一季度发现的漏洞总数量确实下降了。

    FB客服
  • 思科产品中存在严重硬编码密码漏洞和Java反序列化漏洞

    近日,思科发布了 22 条安全公告,其中包括两条重要的修复方案:修复一个硬编码密码漏洞( CVE-2018-0141)和一个 Java 反序列化漏洞(CVE-2...

    FB客服
  • 我是怎么找到通用漏洞的

    2.然后随便点进去一个模块,发现网站页面域名发生了跳转,直觉告诉我,这波操作一定存在问题。果然,在页面的最底端,发现了某家公司的名字,这应该就是开发商。

    Ms08067安全实验室
  • VTest - 漏洞测试辅助系统

    VTest - 漏洞测试辅助系统用于辅助安全工程师漏洞挖掘、测试、复现,集合了mock、httplog、dns tools、xss,可用于测试各类无回显、无法直...

    C4rpeDime
  • 热点 | 英特尔自曝芯片三个漏洞,内存数据存风险

    据外媒报道,英特尔在周二揭露了其部分微处理器中存在的三个漏洞,称黑客可以利用它们来获取计算机内存中的一些数据。此次漏洞事件中,受到影响的产品包括Core以及Xe...

    镁客网
  • 2013年微软安全漏洞盘点

    作者 wyl091256 写在前面: 2013年是0-day的高发期,也是安全工程师和黑客之间的博弈最为激烈的一年,微软在这一年推出了很多新的安全机制,...

    FB客服

扫码关注云+社区

领取腾讯云代金券