※ 引述《Voltaire3756 (Voltaire_young)》之铭言:
: 各位大大好
: 小弟是名怀抱着资安梦的韧体仔
: 最近在工作中发现一个目前尚未被揭露的系统底层资安漏洞
: 因希望有朝一日能转换跑道至资安领域
: 希望能将此次发现转化成小弟在资安领域的敲门砖
: 故发文询问各位大大意见
: 感谢各位大大,感激不尽
: 小弟对于资安的理解,对某些大大而言非常外行
: 如果以下内容有任何错误 或 令您啼笑皆非的想法
: 希望大大手下留情,别鞭得太重QQ
因为资安领域的范围满广的,各种工作的差异性不小
不过原PO看起来应该是对漏洞研究这块有兴趣,
我应该还是可以提供一些个人经验和主观看法XD
: =====资安漏洞=====
: 模组A 先前被通报存在 漏洞a (CVSS 7.5)
: 模组B 是为了解决 漏洞a
: 模组B 的原理是存取特定资料前,必须先输入密码以解锁存取保护
: 小弟发现 模组B 存在 漏洞b
: 利用 漏洞b,可以绕过密码验证,强行解锁并直接窜改管理者密码
: =====影响层面=====
: 因为小弟成为韧体仔还不到半年
: 只知道好像很多底层参数需要管理者权限才能动
: 但具体可以达到什么程度,小弟还没概念
: 目前实验发现可以开关某些 I/O port 跟 乱改参数导致系统 shut down
: 好像还可以偷塞东西进内存,然后引导系统去执行(还在研究怎么弄)
除了漏洞本身可做到哪些事 (DoS、CE、Leakage...)
它的严重程度也会跟攻击者需要多接近目标有关,
通常来说可以远程攻击的话会是比较严重的,
但如果需要在本地执行甚至物理上接触目标那影响就比较小,
这点也可以从 Zerodium 给的bounty看出来 https://zerodium.com/program.html
原PO描述的漏洞至少能DoS,而且看起来有机会做到Code Excution,
如果这个管理接口是可以从远端碰到的,比方说router在WAN端的登入接口,
那就算是比较严重的RCE漏洞了,一般的漏洞回报平台应该都会收
: =====疑问=====
: Q1. 该如何最大限度的确保自己的Credit?
: 以小弟对资安事件揭露机制的认识
: 好像不会纪录发现者或第一个揭露者的资讯
: 虽然小弟的发现跟去年热门的"log4j"相比,明显微不足道
: 小弟想好好抓住此次机会,希望能作为进入资安领域的契机
: 目前还没有人揭露相关漏洞,担心拖太久会被人抢先一步
发现漏洞后,一般会希望能拿到一个CVE编号,
虽然CVE ID本身不会揭露投稿人的资讯,但可以附references连结,
这里就可以连结到跟你有关的资讯
要申请CVE ID,最简单的情况那个软件或设备的厂商自己有漏洞回报机制
https://www.cve.org/PartnerInformation/ListofPartners
有些还会有自己的Bounty Program,鼓励研究人员回报漏洞,
也是有靠奖金就可以养活自己或发大财的家伙,是谁我就不说了
如果厂商自己没有的话,还是可以回报给厂商
不过如果想避免各种可能的"麻烦",那可以直接回报给漏洞回报平台,他们再设法回报。
像是趋势的ZDI,基本上各类型的漏洞都会收,虽然不高但也会有少量的奖金
通过的话,我印象中ZDI会直接帮你送CVE,不用自己填
另外如果标的是在国内的话,可以回报给HITCON Zeroday,
一些范围比较特定的,像某某学校SQL injection之类的,就可以丢
这两个平台都可以在官网上查到credit,你可以附在CV里
: Q2. 该如何在面试时,呈现此次成果呢?
: 主要有两大顾虑:可信度 & 被告
: 首先是"可信度"问题
: 如果仅以上述"资安漏洞"的内容来描述小弟的发现
: 依照好友反馈,感觉很像是自己瞎掰的
: 再来是"被告"问题
如果厂商有自己的回报机制,只要不违反它的规定 (通常会限制不可以打正在跑的服务)
一般来说不会有问题。
没有的话还是丢平台好了,他们会有完善组织和流程负责被告 :)
有听说电话来不是要问漏洞细节而是要告人的
也有一些讲的很开放,但EULA写说不可以逆向分析,不知道想表达什么的
这种就说做梦梦到PoC,到底哪里出bug给他们自己烦恼就好
: 为了避免让人觉得小弟在瞎掰的印象
: 势必得透漏部分细节
: 透漏得越多,被告的可能性越高
: 目前小弟打算录一小段实机演示影片
: 把过程中跟演示内容无关的部分上马赛克
: 希望大大们提点需要注意的部分
除非你是Project Zero,家大业大不怕有人来告
漏洞不修? 给你三个月不然强制公开,大家一起来开party
一般做法就是回报 -> 等它修掉 -> (你)公开细节,然后可以发blog、投conference
如果CVE申请是自己填的,也可以附加上去,这样大家就都知道这是你干的
: Q3. 如何避免面试官对小弟"诚信度"的疑虑?
: 具规模的公司,通常都会将"诚信度"纳入选才评分中
: (还是这只是小弟的偏见?)
: 为了展示此次成果,无可避免地需要揭露一些外人难以得知的资讯
: 然而某某公司内部机密泄漏的新闻时有所闻
: 小弟担心在展示过程中没拿捏好尺度
: 会让面试官心生疑虑
: 这样就陷入了一个微妙的 trade off
: 说得详细具体,虽然可信度上升,但会导致个人诚信度下降
: 说得模糊笼统,让人感觉在瞎掰,直接出局
: (让人感觉在瞎掰好像也会降低诚信度)
像面试这种场合私底下讲讲你的发现,我是觉得没什么关系,不然无从讨论起,
太高调乱搞、弄到上新闻的那种才会黑掉。
漏洞的细节是你的底牌,正常做漏洞研究的人不会没事去翻它,
反过来想免费钓你情报的公司还是别去吧
你可以分享怎么发现这个漏洞的、用什么工具、怎么去分析,
有经验的听了就知道是不是在唬烂
: Q4. 小弟与面试官的认知差距
: 人最害怕的莫过于 不自知 与 自我感觉良好
: 小弟担心前述所有的担忧只是自己的一厢情愿
: 说不定对面试官而言,小弟的成果微不足道,加不了多少分
: 可能面试官更看重的是近期版上热门的"刷题"
: 小弟想向有经验的大大请教
: 如果想进入资安领域,一般面试官最重视的项目有哪些?
以研究员来说,会看你会不会使用分析工具和分析手法
有时候可能给你一个情境问你会怎么做,做这个看的是你“解决问题”的能力
当然对一般漏洞有哪些型式、利用的方法,还是要有基本的了解
虽然很吃经验,但不见得一定要有丰功伟业才代表你很厉害,很多强者都是很低调的
CVE、CTF 经验、投稿这些当然是加分项,不过没有的话也没关系
这些只是最容易评估你的能力的一个方式
除了口头面试,也有可能给个作业回去做
刷题的话... 如果你有 Codeforces、Topcoder、UVa 帐号,
或 Code Jam、Hacker Cup 得名的话就附吧XDDD
毕竟 ACMer 转 CTFer 都是非常强的,做研究应该也不会弱到哪
不然就去刷一下 pwnable.tw 看看,
不要因为受到打击放弃走这条路就好...实务上的情况没那么难
: 想凭一个小发现来证明自己的对资安领域的向往或能力,是否太异想天开了?
资安领域范围很广,甚至不见得需要会写code
我待的公司也有威胁情资分析师是外文系毕业的
虽然比起学生时代会少一些资源能用 (像AIS3这种培训计画)
但要转职也不算晚,个人觉得有兴趣就可以尝试看看
原PO是做韧体相关的工作,想必系统底层、组语之类的都很熟悉吧,
要转漏洞研究领域,满多经验应该都用得上
对了,我不看你拿几张资安证照
那对漏洞研究一点意义都没有 :p