Re: [討論] 如何最大化工作成果?
※ 引述《Voltaire3756 (Voltaire_young)》之銘言:
: 各位大大好
: 小弟是名懷抱著資安夢的韌體仔
: 最近在工作中發現一個目前尚未被揭露的系統底層資安漏洞
: 因希望有朝一日能轉換跑道至資安領域
: 希望能將此次發現轉化成小弟在資安領域的敲門磚
: 故發文詢問各位大大意見
: 感謝各位大大,感激不盡
: 小弟對於資安的理解,對某些大大而言非常外行
: 如果以下內容有任何錯誤 或 令您啼笑皆非的想法
: 希望大大手下留情,別鞭得太重QQ
因為資安領域的範圍滿廣的,各種工作的差異性不小
不過原PO看起來應該是對漏洞研究這塊有興趣,
我應該還是可以提供一些個人經驗和主觀看法XD
: =====資安漏洞=====
: 模組A 先前被通報存在 漏洞a (CVSS 7.5)
: 模組B 是為了解決 漏洞a
: 模組B 的原理是存取特定資料前,必須先輸入密碼以解鎖存取保護
: 小弟發現 模組B 存在 漏洞b
: 利用 漏洞b,可以繞過密碼驗證,強行解鎖並直接竄改管理者密碼
: =====影響層面=====
: 因為小弟成為韌體仔還不到半年
: 只知道好像很多底層參數需要管理者權限才能動
: 但具體可以達到什麼程度,小弟還沒概念
: 目前實驗發現可以開關某些 I/O port 跟 亂改參數導致系統 shut down
: 好像還可以偷塞東西進記憶體,然後引導系統去執行(還在研究怎麼弄)
除了漏洞本身可做到哪些事 (DoS、CE、Leakage...)
它的嚴重程度也會跟攻擊者需要多接近目標有關,
通常來說可以遠程攻擊的話會是比較嚴重的,
但如果需要在本地執行甚至物理上接觸目標那影響就比較小,
這點也可以從 Zerodium 給的bounty看出來 https://zerodium.com/program.html
原PO描述的漏洞至少能DoS,而且看起來有機會做到Code Excution,
如果這個管理介面是可以從遠端碰到的,比方說router在WAN端的登入介面,
那就算是比較嚴重的RCE漏洞了,一般的漏洞回報平台應該都會收
: =====疑問=====
: Q1. 該如何最大限度的確保自己的Credit?
: 以小弟對資安事件揭露機制的認識
: 好像不會紀錄發現者或第一個揭露者的資訊
: 雖然小弟的發現跟去年熱門的"log4j"相比,明顯微不足道
: 小弟想好好抓住此次機會,希望能作為進入資安領域的契機
: 目前還沒有人揭露相關漏洞,擔心拖太久會被人搶先一步
發現漏洞後,一般會希望能拿到一個CVE編號,
雖然CVE ID本身不會揭露投稿人的資訊,但可以附references連結,
這裡就可以連結到跟你有關的資訊
要申請CVE ID,最簡單的情況那個軟體或設備的廠商自己有漏洞回報機制
https://www.cve.org/PartnerInformation/ListofPartners
有些還會有自己的Bounty Program,鼓勵研究人員回報漏洞,
也是有靠獎金就可以養活自己或發大財的傢伙,是誰我就不說了
如果廠商自己沒有的話,還是可以回報給廠商
不過如果想避免各種可能的"麻煩",那可以直接回報給漏洞回報平台,他們再設法回報。像是趨勢的ZDI,基本上各類型的漏洞都會收,雖然不高但也會有少量的獎金
通過的話,我印象中ZDI會直接幫你送CVE,不用自己填
另外如果標的是在國內的話,可以回報給HITCON Zeroday,
一些範圍比較特定的,像某某學校SQL injection之類的,就可以丟
這兩個平台都可以在官網上查到credit,你可以附在CV裡
: Q2. 該如何在面試時,呈現此次成果呢?
: 主要有兩大顧慮:可信度 & 被告
: 首先是"可信度"問題
: 如果僅以上述"資安漏洞"的內容來描述小弟的發現
: 依照好友反饋,感覺很像是自己瞎掰的
: 再來是"被告"問題
如果廠商有自己的回報機制,只要不違反它的規定 (通常會限制不可以打正在跑的服務)一般來說不會有問題。
沒有的話還是丟平台好了,他們會有完善組織和流程負責被告 :)
有聽說電話來不是要問漏洞細節而是要告人的
也有一些講的很開放,但EULA寫說不可以逆向分析,不知道想表達什麼的
這種就說做夢夢到PoC,到底哪裡出bug給他們自己煩惱就好
: 為了避免讓人覺得小弟在瞎掰的印象
: 勢必得透漏部分細節
: 透漏得越多,被告的可能性越高
: 目前小弟打算錄一小段實機演示影片
: 把過程中跟演示內容無關的部分上馬賽克
: 希望大大們提點需要注意的部分
除非你是Project Zero,家大業大不怕有人來告
漏洞不修? 給你三個月不然強制公開,大家一起來開party
一般做法就是回報 -> 等它修掉 -> (你)公開細節,然後可以發blog、投conference
如果CVE申請是自己填的,也可以附加上去,這樣大家就都知道這是你幹的
: Q3. 如何避免面試官對小弟"誠信度"的疑慮?
: 具規模的公司,通常都會將"誠信度"納入選才評分中
: (還是這只是小弟的偏見?)
: 為了展示此次成果,無可避免地需要揭露一些外人難以得知的資訊
: 然而某某公司內部機密洩漏的新聞時有所聞
: 小弟擔心在展示過程中沒拿捏好尺度
: 會讓面試官心生疑慮
: 這樣就陷入了一個微妙的 trade off
: 說得詳細具體,雖然可信度上升,但會導致個人誠信度下降
: 說得模糊籠統,讓人感覺在瞎掰,直接出局
: (讓人感覺在瞎掰好像也會降低誠信度)
像面試這種場合私底下講講你的發現,我是覺得沒什麼關係,不然無從討論起,
太高調亂搞、弄到上新聞的那種才會黑掉。
漏洞的細節是你的底牌,正常做漏洞研究的人不會沒事去翻它,
反過來想免費釣你情報的公司還是別去吧
你可以分享怎麼發現這個漏洞的、用什麼工具、怎麼去分析,
有經驗的聽了就知道是不是在唬爛
: Q4. 小弟與面試官的認知差距
: 人最害怕的莫過於 不自知 與 自我感覺良好
: 小弟擔心前述所有的擔憂只是自己的一廂情願
: 說不定對面試官而言,小弟的成果微不足道,加不了多少分
: 可能面試官更看重的是近期版上熱門的"刷題"
: 小弟想向有經驗的大大請教
: 如果想進入資安領域,一般面試官最重視的項目有哪些?
以研究員來說,會看你會不會使用分析工具和分析手法
有時候可能給你一個情境問你會怎麼做,做這個看的是你「解決問題」的能力
當然對一般漏洞有哪些型式、利用的方法,還是要有基本的了解
雖然很吃經驗,但不見得一定要有豐功偉業才代表你很厲害,很多強者都是很低調的
CVE、CTF 經驗、投稿這些當然是加分項,不過沒有的話也沒關係
這些只是最容易評估你的能力的一個方式
除了口頭面試,也有可能給個作業回去做
刷題的話... 如果你有 Codeforces、Topcoder、UVa 帳號,
或 Code Jam、Hacker Cup 得名的話就附吧XDDD
畢竟 ACMer 轉 CTFer 都是非常強的,做研究應該也不會弱到哪
不然就去刷一下 pwnable.tw 看看,
不要因為受到打擊放棄走這條路就好...實務上的情況沒那麼難
: 想憑一個小發現來證明自己的對資安領域的嚮往或能力,是否太異想天開了?
資安領域範圍很廣,甚至不見得需要會寫code
我待的公司也有威脅情資分析師是外文系畢業的
雖然比起學生時代會少一些資源能用 (像AIS3這種培訓計畫)
但要轉職也不算晚,個人覺得有興趣就可以嘗試看看
原PO是做韌體相關的工作,想必系統底層、組語之類的都很熟悉吧,
要轉漏洞研究領域,滿多經驗應該都用得上
對了,我不看你拿幾張資安證照
那對漏洞研究一點意義都沒有 :p
--
推
Push
推,詳細
強
感謝大大,小弟有些細節想請教,請問方便寄信詢問嗎
完全看不懂 但有料
推大大 本人不就是IOI ACMer玩到頂轉CTFer的強者嗎XD
推, seanwu 是我的偶像
@Voltaire3756 沒問題喔~
讚
酷ㄟ,雖然我有看沒有懂
推, seanwu 是我的偶像
推專業
強
推
朝聖
感謝大大分享
爆
[Vtub] 「我是前VT事務所工作人員 有想問的嗎?」「我是前VT事務所工作人員 有想問的嗎?」 基本上這篇就5CH轉錄,把他當八卦看待就可以了,其中幾分真幾分假就請自行判斷。 Q:感覺這種受歡迎的新興產業就很黑心企業的樣子 A:真的很黑心,然後經紀人的待遇比我們工作人員更黑心爆
Re: [新聞] 台鐵小7螢幕遭駭 NCC:廣告系統使用中國嘖,剛剛 op ,重回。XD 這新聞看完只覺得幹話治國! 1. 使用了中國軟體是什麼意思,是找到軟體有漏洞,還是被中國服務商挾持,這些資訊都沒有,寫個使用了中國軟體是啥意思。這就是我國的軟體實力跟資安態度嗎? 2. 「近期攻擊,機關大都能即時發現、即時應處」 看得到的攻擊當然是這樣,但一個看得到的攻擊背後藏了多少看不到的攻擊?爆
Re: [請益] 化工學士畢業後的規劃工 : 作,但後來轉念想回來把學士修完先找科技業的工作試試看能不能找到興趣,所以目前 正 : 在找第一份工作但是還找不到方向,同學有些都去產線輪班薪水很高不過很累人。 : 我自己還不在意第一份工作的薪水,但希望工作內容能幫忙自己摸清科技業,對科技產爆
Re: [討論] 「遊戲翻譯」是怎樣的工作啊?原文恕刪 大家好,我是遊戲翻譯資歷大概8年,不算資淺但也不敢說資深的譯者。 先前在西洽PO過幾次文,但主要是和配音有關,但其實遊戲文本翻譯才是主要收入。 之前在台灣暴雪待過快五年,做過在地化、配音和發行的職務,現在自己出來開公司 「牛灣娛樂」,主要也是接遊戲在地化的工作,然後有用在地化賺來的錢開發獨立遊戲67
Re: [請益] 接手外包商的code沒交接也沒人可以問我的第一份跟第二份工作都是這個樣子,一開始你會像麻痺的人,給你幾個建議 1. 掌握啟動前的入口 - 大部分程式語言都會有一個從作業系統下命令開始執行 的進入點,可能會載入 config、環境變數、命令參數這些東西,你要先清楚 這些東西的配置意義是什麼。 2. 掌握啟動後的入口 - 如果是 server 或常駐程式,在執行階段就會有監聽行為。32
[情報] QNAP出大事了 新Deadbolt漏洞!!這次 DeadBolt 據 QNAP 公告 是 Photo Station 漏洞導致的 駭客挑週六、週日這兩天發作23
[新聞] 蘋果緊急修補已被開採的兩個零時差漏洞1.原文連結: 2.原文標題: 蘋果緊急修補已被開採的兩個零時差漏洞,波及Mac、iPhone與iPad 3.原文來源(媒體/作者):21
[情報] AMD 處理器也未逃過 Spectre V2 漏洞威脅AMD 處理器也未逃過 Spectre V2 漏洞威脅,當前處理方式將使性能下降 54% 2022.03.14 Chevelle.fu Spectre 漏洞是一種藉由當代 CPU 加入分支預測功能的漏洞問題,首次爆發漏洞