注册忘记密码

黑客论坛,黑客工具,黑客教程,QQ技术,黑客基地,黑客网络,黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防,黑客编程,黑客定位,手机定位,微信定位,hack,黑客网站,查开房,定位,信息查询

网站建设SEO培训
查看: 614|回复: 0

[技术文章] 安全公司与黑帽黑客之间很多脱节的地方

[复制链接]
   0 UID
   0帖子
   0精华
21
   0威望
500
   0金币
45052
   0贡献
5000
   0阅读权限
   200
   积分
   0
   在线时间
   569 小时
   最后登录
   2020-2-17
发表于 2020-1-20 07:03:55 来自手机 | 显示全部楼层 |阅读模式
    在邮件列表 Bugtraq创建之前,发现了漏洞以及利用漏洞的方法的人们只能直接相互交,流。 Bugtrap的创建为这些人提供了一个开放的论坛,使他们能够讨论相同的问题,并合作实现某个目标。由于接触到利用漏洞的方法变得很容易,因此导致 script-kiddie点击工具数量大增,从而使得那些根本不理解漏洞的人们也可以成功地利用它们。将越来越多的漏洞发布到这个站点已经成为黑客、骇客和安全从业者等人群打发时间的一种很有吸引力的活动。Bugtraq导致 Intemet和网络上以及针对供应商的攻击数大大增加。许多供应商感到非常不满,要求通过一种更负责的方法来揭秘漏洞信息,2002年, nternet安全系统( intemet Security Systems,ss)在一些产品中发现了儿个关键漏洞,涉及的产品包括 Apache Web服务器、 Solaris X Windows的字体服务和 Intemet软件联盟nternet Software Consortium)的BND软件。ISS采用了与供应商直接协作的方式,开发出了解决方案由 Sun Microsystems开发并发布的一个补丁本身就存在缺陷,因此只能被召回。 Apache的补丁直到漏洞被公开后才发布给公众,而事实上供应商事先已经知道漏洞的存在。尽管这些例子早已是老生常谈,但此类行为(类似的还有很多)使得个人和公司变得非常脆弱,有可能成为攻击的受害者,最终使他们对软件供应商产生强烈的不信任感。批评家也指责安全公司(如ISS)发布此类信息的动机不纯。他们暗示,通过发布系统缺陷和漏洞,安全公司给自己做了良好的宣传,从而带来了新业务并增加了收入,由于Ss遇到的挫折和导致的争议,因此它决定创建自己的揭秘策略,以便更好地处理将来可能发生的类似事件。它制定了在发现漏洞时应该遵循的过程,以确定何时以及如何将漏洞信息发布给公众。虽然其策略通常被认为是“负责任的信息揭秘”,但是这个策略包含一个重要的说明:在通知供应商漏洞信息后,会在“预定时间”内将漏洞的详细信息发布给用户及公众。ISS会协调自己与供应商的漏洞信息发布活动。对于那些认为漏洞信息应该让公众知道、以提高他们的自我保护能力的人们来说,这种策略只是火上浇油诸如此类的难题反映出供应商、安全公司和灰帽黑客之间仍然存在脱节的现象。不同的观点和动机使得每个群体走上了不同的道路。本章将讨论正当的漏洞信息揭秘模型,以帮助各方坐到一起协同工作,但是围绕这个问题所引发的争议仍将存在。
注意:关于是否应该完全揭秘,各方存在不同的看法和态度,由此产生了大量的辩论和争议。客户和安全从业者等方对软件产品中从一开始就存在缺陷,而软件供应商在改进问题时显得积极性不足而感到失望。供应商则对自己在尝试开发补丁时,有人不断地发布利用漏洞的代码而备感挫败,本书不会站在任何一方的角度展开讨论,而是会尽力说明如何促进揭秘过程朝着正确的方向发展,而不是损害这个过程。

发表回复

您需要登录后才可以回帖 登录 | 注册会员

本版积分规则

快速回复 返回顶部 返回列表