漏洞披露最佳实践
从安全研究人员的角度来看,只需要在Twitter上放置一个为期0天的博客帖子,然后将有关MITRE,Snyk和WhiteSource的研究成果转交给其他人,然后让他们处理发布的通知,就变得极其简单。
通过私下向组织公开安全漏洞,安全研究人员不仅要尊重组织,更重要的是要尊重组织软件的用户。
-乔纳森·莱特舒(Jonathan Leitschuh)
最佳做法1:制定披露政策
作为安全研究人员,在向组织披露安全漏洞时,具有既定的预先披露政策非常重要。
该披露政策应在初始电子邮件联系人中明确说明,并应有明确定义的披露期限。
为什么
例子
资源资源
2021-10-10 21:56:48
4KB
1
IIS4hack缓冲溢出主要存在于.htr,.idc和.stm文件中,其对关于这些文件的URL请求没有对名字进行充分的边界检查,导致运行攻击者插入一些后门程序 在系统中下载和执行程序。
2021-10-09 13:33:44
55KB
1
ˇ GDA(GJoy Dex分析仪)
GDA是新的Dalvik字节码反编译器,以C ++实现,具有以下优点:分析速度更快,内存和磁盘消耗更低,并且反编译APK,DEX,ODEX,OAT文件的能力更强(自3.79开始支持JAR,CLASS和AAR文件) 。 GDA完全独立,并且无需安装Java VM即可运行,因此无需任何额外配置即可在任何新安装的Windows系统和虚拟机系统中正常运行。 GDA Decompiler项目始于2013年,2015年在发布了其第一个版本1.0。
GDA还是一个功能强大且快速的反向分析平台。 它不仅支持基本的反编译操作,而且还具有许多出色的功能,例如恶意行为检测,隐私泄漏检测,漏洞检测,路径解决,打包程序标识,变量跟踪分析,反混淆,Python和Java脚本,设备内存提取,数据解密和加密等
所有出色的功能如下:
2021-10-06 23:46:42
16.85MB
1
fastjson-rce-exploit
poc for fastjson远程执行代码漏洞
2021-10-06 21:00:14
36.76MB
1