@局外人
4年前 提问
1个回答

挖漏洞需要具备哪些知识

挖漏洞需要具备哪些知识?

上官雨宝
4年前
  1. 应用程序的技术:也就是说开发人员应该知道如何构建目标应用程序的技术,包括编程语言、系统内部构件、设计范例或模式、协议、框架或库等等。如果一个研究人员拥有与他们的目标相适应的经验,则更好。

  2. 进攻和防御的概念:从基本的安全原则到不断演变的技术,进攻和防御概念的结合可以引导研究人员发现漏洞,同时绕过漏洞。

  3. 工具和方法:要有效地将概念付诸实践,就要花时间学习如何使用工具并配置它们,优化重复的任务,建立你自己的工作流程。了解相关的工具是如何工作的,如何开发它们,以及如何为不同的用例重新设计它们非常重要。
    面向过程的方法比以工具为导向的方法更有价值,当使用的工具被限制时,研究人员不应该停止探索。我的方法主要来自于阅读书籍并亲自动手实践,以及在不断地试错中学习。

  4. 目标应用程序:重要的是能够更好地理解应用程序的安全属性,而不是它的开发和维护。这不仅要考虑应用程序的安全特性,还涉及到获取其用例的上下文,枚举所有入口点,并能够假设适合其业务逻辑和技术堆栈的漏洞。