0day のトピックは著者にとって大きな挑戦ですが、それがどれほど難しくても、著者は多くの新旧のテクノロジ (バイナリ、アセンブリ言語、およびオペレーティング システムの基礎知識に精通している) を実践することを主張します。テクノロジーを活用してポジティブなエネルギーを促進します。
バグと脆弱性
現代のソフトウェア産業の発展に伴い、ソフトウェアの規模は拡大し続けており、ソフトウェア内部のロジックは非常に複雑になっています。ソフトウェアの品質を保証するために、ソフトウェアのライフサイクルにおけるテストリンクのステータスが一般的に注目されています。一部の有名な大規模ソフトウェア会社では、テスト (QA) が開発よりも多くのリソースを消費します。それでも、理論的にもエンジニアリング的にも、ソフトウェアのすべての論理欠陥、つまりバグを完全に除去できると敢えて主張する人は誰もいません。あらゆる種類のソフトウェア ロジックの欠陥の中には、非常に深刻な結果を引き起こす可能性のあるものもあります。たとえば、Web サイトのシステムでは、ユーザー入力データの制限に欠陥があると、サーバー ソフトウェアがデータを解析する際に、サーバーが SQL インジェクション攻撃や XSS (Cross SiteScript、クロスサイト スクリプティング) 攻撃の標的になってしまいます。プロトコルで予期しないデータ形式が発生した場合、適切な例外処理が行われないと、攻撃者にサーバーをリモート制御する機会が与えられる可能性があります。私たちは通常、ソフトウェアに「設計の範囲を超えた」動作を引き起こす可能性があるこの種のバグを脆弱性 (脆弱性) と呼びます。
(1) 機能ロジックの欠陥(バグ):実行結果エラー、アイコン表示エラーなど、ソフトウェアの正常な機能に影響を与えるもの。
(2) セキュリティ ロジックの欠陥 (脆弱性): 通常、ソフトウェアの通常の機能には影響しませんが、攻撃者によって悪用されると、ソフトウェアが追加の悪意のあるコードを実行する可能性があります。一般的な脆弱性には、ソフトウェアのバッファ オーバーフローの脆弱性、Web サイトのクロスサイト スクリプティングの脆弱性 (XSS)、SOL インジェクションの脆弱性などが含まれます。
いくつかの紛らわしいセキュリティの質問
あなたはある程度のコンピュータの知識があるかもしれませんが、それでも次のようなセキュリティの質問に苦労することがよくあります。
(1) 私はから