当然既然用户的认识只在这个阶段,也没措施,后面的测试我们就只能以渗透利用的方法去做和出报告了,但我一直在想,用户需要的是提升自身业务系统的安全,持续渗透这套方法,我们难道又要回到卖防护设备被动防护的方法吗?在给微软测试当中,我提交的报告无需去写EXP,除了MDB那个例外,因为微软认为MDB不是安全文件,我给他们说了可以利用来打IIS,但估计我拙劣的英文没让他们明白,最后才以BLUEHAT上的实际演示来证明。其实技巧发展到现在,安全漏洞具体怎么利用成为了一门艺术,但是漏洞理论上是否可被利用却是基础可以定性的,只要理论上可以被利用的漏洞,厂商都应当修补,因为我们不能假设攻击者不能通过深入研究达到本质可利用,厂商也没必要花费大批的成本去研究本质可利用。所以微软无需我提交EXP,只要指出是否理论可利用就可以了。
其实攻击者只要付出研究成本,大多数理论上可被利用的漏洞都是可以达到很高利用程度的,最近给相干部门提交了一个非常严重,影响国内多个重点行业应用的产品漏洞,但对方认为这个漏洞太难利用了,因为有利用自身编码检测请求,否则无法写自己可控内容到文件;没措施,只能花了一晚上时间熬夜逆向分析,最后写出了编码的代码,可以非常容易实行攻击,证实这是个极度高危的安全漏洞。是的,虽然最终把利用代码写出来了,让任何说不能实际利用的人都无话可说,但是,这种成本花销值得吗?厂商会对发明自身安全漏洞支付成本,会对发明的安全漏洞写出可利用攻击来支付成本吗?房屋安全验收员发明了房屋存在空鼓就可以了,而不是非得贴上瓷砖等上2年让墙砖呈现开裂、脱落的现象才干给业主证明。
【义务编辑:王文文 TEL:(010)68476606】 相关阅读