注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

网站建设SEO培训
查看: 559|回复: 0

[网络安全] 道德黑客漏洞批露

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
45052
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   569 小时
   最后登录
   2020-2-17
发表于 2020-1-20 06:55:26 来自手机 | 显示全部楼层 |阅读模式
     一直以来,客户们总是要求操作系统和应用程序提供越来越多的功能。供应商在匆忙满足这些需求的同时,还要增加自己的利润和市场占有率。争取抢占市场,同时还要保持竞争优势,这两种因素相互作用导致软件中包含了许多缺陷,其中既包括烦人的小问题,也包括直接影响客户的保护级别的严重的、危险的漏洞。
   黑客群体的技能在不断地增长。过去他们需要几个月的时间才能利用确定的漏洞发起成功的攻击,而现在只需要几天,甚至几个小时。黑帽群体对黑客活动的兴趣也在增加,吸引的人才数量也越来越多,这就导致安全从业者需要对付执行起来更快速、破坏力更大的攻击和恶意软件。供应商不能等待别人发现真正的漏洞,而是应该尽快将漏洞的补丁发送到有需求的客户那里为此,正义黑客必须理解并遵循正确的方法,将识别出的漏洞报告给软件供应商。如果某个人发现了一个漏洞并对其进行了非法利用,或者告诉其他人如何利用该漏洞,那么就可以认为此人是一名黑帽黑客。如果某个人在发现漏洞后,是在相关方面的授权下利用该漏洞那么则认为此人是一名白帽黑客。如果某个人发现了一个漏洞,但是没有非法利用该漏洞,也没有告诉其他人如何利用该漏洞,而是与供应商一起合作来修复漏洞,在这种情况下则认为此人是一名灰帽黑客我们提倡使用这种技术,并以负责任的方式分享知识,这将不仅有助于这个行业,而不是有害于该行业。因此,你应该了解那些允许灰帽黑客和供应商共同协作的政策、过程和指导原则。
    各方看待问题的不同角度,令人遗憾的是,当今几乎所有的软件产品都充满了缺陷。这些缺陷可能给客户带来不容乐观的安全问题。对于严重依赖某些应用程序来完成核心业务功能的客户,bug可能会让业务运营受到影响,所以必须正确处理它们。如何处理bug是一个非常复杂的问题,因为涉入其中的双方对于如何解决问题通常会有不同的看法。
    其中一方是客户。作为客户的个人或公司会购买软件,使用软件,并希望软件能正常工作。客户通常会拥有一个由互联系统(网络)构成的社区,并且依赖于软件的成功运行来完成业务。当客户发现缺陷后,就将其报告给软件供应商,并希望在合理的时间范围内得到解决,另一方是软件供应商。供应商开发产品,并负责保证产品有效运行。供应商需要为数以千计的客户提供技术支持,并指导他们如何使产品正常运行。某个客户报告给供应商的缺陷通常只是供应商必须处理的众多缺陷中的一个,而且某些缺陷还可能会因为这样或那样的原因而没有被供应商注意到。
    向公众揭秘漏洞的问题在计算机行业产生了不小的骚动,各个群体对这个问题都持截然不同的看法。许多人认为,知情权是公众的权利,所以原则上所有的安全漏洞信息都应该公开。而且,许多客户认为,从大型软件供应商那里快速获得解决方案的唯一方法就是给他们施加压力,威胁他们要将信息公开,从而迫使其迅速解决问题。一直以来,供应商都以行动缓慢著称,他们通常会拖到发布新版本或者补丁的时候才会修复客户报告的缺陷。这种方法并没有考虑客户的最大利益,因为客户们必须等待供应商修复他们所报告的漏洞,但在这段时间内,这些漏洞将可能对其业务造成威胁,供应商则会从一个不同的角度来看待这个问题。公开关于软件缺陷的敏感信息存在两个主要的问题。首先,缺陷的详细信息会帮助黑客利用漏洞。供应商的观点是,如果在他们开发解决方案的过程中,客户不将漏洞信息泄露出去,攻击者就无从得知如何利用缺陷。其次这些信息的发布会损害公司的声誉,即使后来证明所报告的缺陷其实并不是缺陷时,造成的影响也已无法挽回。这就像是政治竞选中的抹黑运动,在报纸的头条刊登不利于对手的消息对手的名誉会受到影响,即使后来证明报道不实,报纸上也只会在一周后在一个不起眼的位置刊登撤回报道的声明。供应商担心大量发布漏洞报告会对其造成类似的影响,由于存在以上两种截然不同的观点,因此,已经有几家组织联合起来,就如何处理软件漏洞信息的公开问题创建了一些策略、指导原则和一般性的建议。本章将尝试从各方的观点。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则

快速回复 返回顶部 返回列表