tombkeeper2014-04-17 22:45Open options我强调“未知攻,焉知防;未知防,焉知攻”,绝非故弄玄虚。比如上次推荐给大家的写于十年前的 PaX 项目介绍文档,其中就有 yuange 说的 DVE 思路。搞攻的人如果早看到这篇讲防的文章,也许就可受到启发。这次 Heartbleed 漏洞,早有人看出源码的问题,但因为不了解攻,认为只是普通Bug,没有重视。 详情
tombkeeper2014-04-17 22:27Open options吴石说的“用漏洞本身实现图灵完备”,可能很多人根本没往心上去。另外他还在只言片语中提过另一个非常重要的和漏洞利用有关的思路。这两个我当时看了都一惊,一是没想到我们最后都想到这些地方了,二是没想到他会说出来。不过后来看大家的反应,似乎没人明白过来这两句话的价值。 详情
tombkeeper2014-04-17 21:46Open options娃玩的时候看到电视上放金像奖走红毯,就一个个看下来。章子怡出来的时候,娃忽然点点头说:“嗯,这个阿姨好看”——他这可还不到三岁啊。 详情
tombkeeper2014-04-17 21:09Open options从之前的研究和近期分析的一些软件看,国内很多软件还处于基本编码安全尚未得到足够解决的状态,但也有少数先行者做得比较好。有些也尝试了推行SDL。但从分析结果看,即使是那些先行者,软件的整体规划设计可能也没有安全技术人员的参与。对设计规划上的问题,源码审计、Fuzzing多半是无效的。 详情