注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

查看: 7193|回复: 0

[渗透技术文章] 黑客漏洞揭秘的类型主要分为三种

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
45374
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   586 小时
   最后登录
   2020-4-7
发表于 2020-2-5 22:10:10 | 显示全部楼层 |阅读模式
      漏洞揭秘的类型主要分为3种:完全公开、部分公开和不公开-。每种类型都有其拥护者,而且都有利弊。CERT和RFP对漏洞揭秘采取了刚性方法,但参与各方很难同时认同这些指导原则的公平性或灵活性。Internet安全组织(OIS)即是为了满足所有各方的需要而应运而生的,这是一种部分公开策略。本节将概述OIS方法,并介绍为了向用户和供应商提供更加公平的框架所采取的步骤。

    OIS是由研究人员和供应商所组成的,其目标是改善处理软件漏洞的方法。OIS的成员包括@state、BindView Corp. SCO Group、Foundstone. Guardent、Intemet Security Systems、
McAfee. Microsoft Corporation、Network Associates、Oracle Corporation、SGI和Symantec。完成预定目标后,也就是创建出黑客漏洞揭秘的指导原则后,OIS随之解散。
    OIS认为,供应商和消费者应该相互协作以找出问题所在,并设计出对双方都很合理的
解决方案。OIS试图组建一个思想开放的、受人尊重的专家小组,负责给出能够被普遍遵守
的公正公平的建议。该指导原则的目标如下:
    通过提供一种改进的方法来识别、调查和解决软件的黑客漏洞,以降低软件漏洞所造成的风险。
    通过加强对最终产品安全性的要求,提高软件的整体质量。

    负责任的揭秘阶段
    了解OIS负责任的揭秘的步骤非常重要。下面我们会对该过程做个小结;详细示例及流程图可参见部分标准。
    (l)发现确认漏洞是否曾被发现过。研究者必须确认黑客漏洞是否曾被报告或修补过。确认漏洞是否能一再地重现及是否会对产品的默认配置带来影响。若以上情况存在,则应创建漏洞汇总 报告(Vulnerability Summary Report,VSR)。
    (2)通知  漏洞发现者将联系方式及VSR报告提交供应商,以供其参考安全策略。所有这些细节发送至OIS标准提供的安全政策列表地址或标准电子邮件地址中。供应商必须进行回复。
    (3)验证供应商对漏洞进行分析研究,并加以验证。在本阶段要求将漏洞研究状态定期告知漏洞上传者。
    (4)告知结论当供应商完成调查后,必须将结论(确认缺陷存在、证明所报告的缺陷不存在、无法确定缺陷是否存在)告知漏洞发现者;供应商需要提供可证明自己执行了调查工作的详细证据,如产品列表、版本及所进行的测试等相关信息。

    (5)解决若缺陷存在情况无法确定或可证明其不存在,则漏洞可被公开;若其被证实存在,则供应商必须在30天内发布补丁或修复缺陷。
    (6)发布将补救措施和通知信息公之于众。

      黑客漏洞发现者通常希望识别并移除商业产品中存在危险的软件,.从而保护整个软件行业。能有一点小名气,.得到人们的赞美,并拥有向他人炫耀的资本,对这些人来说还是很不错的。而另一方面,供应商则希望改进自己的产品,避免法律诉讼,远离负面新闻,并维护一个负责任的公共形象。
    软件缺陷无疑很猖獗。常见漏洞和暴露(Common Vulnerabilities and Exposure,CVE)列表汇集了公众已知的漏洞,这已经是它连续第10年出版了。CVE中分类记录了超过40 000个bug。此列表经常更新,由MITRE和国家标准与技术研究所(NIST)共同协作,国家漏洞数据库(NVD)提供了可搜索CVE相关资料的数据库,可访问http://nvd.nist.gov/。

    研究人员和供应商等在报告黑客漏洞会考虑财务、法律和道德等多方面的因素。对于供应商来说,漏洞会对公共关系造成负面影响,为了改进自己的形象,它们必须在漏洞公开后尽快发布补丁皂但供应商可能会决定宁可在漏洞被公开后投入资金修复软件,也不会事先多付出一些努力使软件做到完美(或接近完美)。它们将漏洞报告当成了售后的安全咨询。
    信息安全专家Bruce Schneier认为漏洞报告有助于提高安全性12’他指出完全披露是促使供应商修补漏洞的唯一方式,因此没必要隐瞒bug-无论如何黑客总会发现它。以前,软件公司总是忽略漏洞并威胁研究者要对其进行法律诉讼,因为对厂家而言,未经报道的缺陷对户的影响肯定要高于软件厂商。
    安全专家Marcus Ranum则不赞同向公众揭秘漏洞13。他认为许多研究人员正在试图通过他们发现的漏洞获利,他们会将这些漏洞卖给出价最高的—方。他的观点是,研究人员总是在寻求出名的机会,漏洞揭秘正是在w滋生不良行为”,而非使软件变得更好。
    但是那些发现和报告bug的漏洞研究人员则持有不同的看法,特别是那些无偿研究的人们。现在还出现了另一个问题,就是灰帽黑客已经对免费工作但却不受法律保护的现状产生了厌倦。




发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则


快速回复 返回顶部 返回列表