V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
gavingeng
V2EX  ›  问与答

大家有看过这个漏洞报告网站吗?WooYun.org

  •  
  •   gavingeng · 2011-11-07 09:21:08 +08:00 · 6532 次点击
    这是一个创建于 4763 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如: http://www.wooyun.org/bug.php?action=view&id=3234
    漏洞hash:f4ea7bf0c0a3c0c58c77cf4225fb2618
    漏洞hash 这个是啥?
    不要解释是漏洞的hash阿......
    8 条回复    1970-01-01 08:00:00 +08:00
    est
        1
    est  
       2011-11-07 09:48:53 +08:00
    指纹吧。防止篡改内容。
    gavingeng
        2
    gavingeng  
    OP
       2011-11-07 13:15:16 +08:00
    @est
    想知道哪东东到底是啥
    dreamersdw
        3
    dreamersdw  
       2011-11-08 01:29:31 +08:00
    猜测与零知识证明有关。
    对软件公司来说,自己公司的软件中如果存在安全漏洞,并因没有及时修复而给客户带来损失的话,会给软件公司造成很大的负面影响。所以他们通常会乐意高价收购安全漏洞。

    对漏洞寻找者来说,在没有源代码的情况下寻找软件的 Bug 是一件十分消耗时间与精力的事,自然他们希望得到报酬。

    但问题来了,如果软件公司在作者修复了漏洞却拒绝支付报酬怎么办?

    因此作者必须找到一种能够证明确实是自己发现了漏洞的方法,但又不能公布漏洞细节。利用 Hash 的不可逆性可以做到这一点,即零知识证明。

    举例:

    作者将与漏洞有关的那一部分二进制代码作 hash 运算后,得到了一串数字,然后作者在自己的网站上公布这一 hash 值,同时告知迅雷:“你们的软件有安全隐患,赶紧联系我吧,你们要是不回购,我可就要在黑市上高价出售啦!”

    万一迅雷按作者的的提示修复漏洞后却耍赖,作者就可以公布有漏洞的代码,大家将其作 hash 运算后一看,果然与作者之前公布的 hash 是一致的。这样所有人都知道迅雷是个骗子了。

    因些作者通过“漏洞 hash”可以保证自己的利益不受侵害。
    gavingeng
        4
    gavingeng  
    OP
       2011-11-09 12:54:34 +08:00
    @dreamersdw
    THX,学习了......
    shanks
        5
    shanks  
       2011-12-28 22:26:08 +08:00
    学习了学习了。。。知产啊
    foreverlove
        6
    foreverlove  
       2011-12-28 23:01:49 +08:00
    学习学习
    manhere
        7
    manhere  
       2011-12-28 23:21:11 +08:00
    @dreamersdw 随便编造个漏洞,生成个hash这种情况呢?
    9hills
        8
    9hills  
       2011-12-28 23:22:21 +08:00
    @manhere 厂商不接受不就好了。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4630 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 01:07 · PVG 09:07 · LAX 17:07 · JFK 20:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.