大家有看过这个漏洞报告网站吗?WooYun.org

2011-11-07 09:21:08 +08:00
 gavingeng
比如: http://www.wooyun.org/bug.php?action=view&id=3234
漏洞hash:f4ea7bf0c0a3c0c58c77cf4225fb2618
漏洞hash 这个是啥?
不要解释是漏洞的hash阿......
6559 次点击
所在节点    问与答
8 条回复
est
2011-11-07 09:48:53 +08:00
指纹吧。防止篡改内容。
gavingeng
2011-11-07 13:15:16 +08:00
@est
想知道哪东东到底是啥
dreamersdw
2011-11-08 01:29:31 +08:00
猜测与零知识证明有关。
对软件公司来说,自己公司的软件中如果存在安全漏洞,并因没有及时修复而给客户带来损失的话,会给软件公司造成很大的负面影响。所以他们通常会乐意高价收购安全漏洞。

对漏洞寻找者来说,在没有源代码的情况下寻找软件的 Bug 是一件十分消耗时间与精力的事,自然他们希望得到报酬。

但问题来了,如果软件公司在作者修复了漏洞却拒绝支付报酬怎么办?

因此作者必须找到一种能够证明确实是自己发现了漏洞的方法,但又不能公布漏洞细节。利用 Hash 的不可逆性可以做到这一点,即零知识证明。

举例:

作者将与漏洞有关的那一部分二进制代码作 hash 运算后,得到了一串数字,然后作者在自己的网站上公布这一 hash 值,同时告知迅雷:“你们的软件有安全隐患,赶紧联系我吧,你们要是不回购,我可就要在黑市上高价出售啦!”

万一迅雷按作者的的提示修复漏洞后却耍赖,作者就可以公布有漏洞的代码,大家将其作 hash 运算后一看,果然与作者之前公布的 hash 是一致的。这样所有人都知道迅雷是个骗子了。

因些作者通过“漏洞 hash”可以保证自己的利益不受侵害。
gavingeng
2011-11-09 12:54:34 +08:00
@dreamersdw
THX,学习了......
shanks
2011-12-28 22:26:08 +08:00
学习了学习了。。。知产啊
foreverlove
2011-12-28 23:01:49 +08:00
学习学习
manhere
2011-12-28 23:21:11 +08:00
@dreamersdw 随便编造个漏洞,生成个hash这种情况呢?
9hills
2011-12-28 23:22:21 +08:00
@manhere 厂商不接受不就好了。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/20917

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX