※ 引述《Voltaire3756 (Voltaire_young)》之铭言： : 各位大大好 : 小弟是名怀抱着资安梦的韧体仔 : 最近在工作中发现一个目前尚未被揭露的系统底层资安漏洞 : 因希望有朝一日能转换跑道至资安领域 : 希望能将此次发现转化成小弟在资安领域的敲门砖 : 故发文询问各位大大意见 : 感谢各位大大，感激不尽 : 小弟对於资安的理解，对某些大大而言非常外行 : 如果以下内容有任何错误 或 令您啼笑皆非的想法 : 希望大大手下留情，别鞭得太重QQ 因为资安领域的范围满广的，各种工作的差异性不小 不过原PO看起来应该是对漏洞研究这块有兴趣， 我应该还是可以提供一些个人经验和主观看法XD : =====资安漏洞===== : 模组A 先前被通报存在 漏洞a (CVSS 7.5) : 模组B 是为了解决 漏洞a : 模组B 的原理是存取特定资料前，必须先输入密码以解锁存取保护 : 小弟发现 模组B 存在 漏洞b : 利用 漏洞b，可以绕过密码验证，强行解锁并直接窜改管理者密码 : =====影响层面===== : 因为小弟成为韧体仔还不到半年 : 只知道好像很多底层参数需要管理者权限才能动 : 但具体可以达到什麽程度，小弟还没概念 : 目前实验发现可以开关某些 I/O port 跟 乱改参数导致系统 shut down : 好像还可以偷塞东西进记忆体，然後引导系统去执行（还在研究怎麽弄） 除了漏洞本身可做到哪些事 (DoS、CE、Leakage...) 它的严重程度也会跟攻击者需要多接近目标有关， 通常来说可以远程攻击的话会是比较严重的， 但如果需要在本地执行甚至物理上接触目标那影响就比较小， 这点也可以从 Zerodium 给的bounty看出来 https://zerodium.com/program.html 原PO描述的漏洞至少能DoS，而且看起来有机会做到Code Excution， 如果这个管理介面是可以从远端碰到的，比方说router在WAN端的登入介面， 那就算是比较严重的RCE漏洞了，一般的漏洞回报平台应该都会收 : =====疑问===== : Q1. 该如何最大限度的确保自己的Credit? : 以小弟对资安事件揭露机制的认识 : 好像不会纪录发现者或第一个揭露者的资讯 : 虽然小弟的发现跟去年热门的"log4j"相比，明显微不足道 : 小弟想好好抓住此次机会，希望能作为进入资安领域的契机 : 目前还没有人揭露相关漏洞，担心拖太久会被人抢先一步 发现漏洞後，一般会希望能拿到一个CVE编号， 虽然CVE ID本身不会揭露投稿人的资讯，但可以附references连结， 这里就可以连结到跟你有关的资讯 要申请CVE ID，最简单的情况那个软体或设备的厂商自己有漏洞回报机制 https://www.cve.org/PartnerInformation/ListofPartners 有些还会有自己的Bounty Program，鼓励研究人员回报漏洞， 也是有靠奖金就可以养活自己或发大财的家伙，是谁我就不说了 如果厂商自己没有的话，还是可以回报给厂商 不过如果想避免各种可能的"麻烦"，那可以直接回报给漏洞回报平台，他们再设法回报。 像是趋势的ZDI，基本上各类型的漏洞都会收，虽然不高但也会有少量的奖金 通过的话，我印象中ZDI会直接帮你送CVE，不用自己填 另外如果标的是在国内的话，可以回报给HITCON Zeroday， 一些范围比较特定的，像某某学校SQL injection之类的，就可以丢 这两个平台都可以在官网上查到credit，你可以附在CV里 : Q2. 该如何在面试时，呈现此次成果呢？ : 主要有两大顾虑：可信度 & 被告 : 首先是"可信度"问题 : 如果仅以上述"资安漏洞"的内容来描述小弟的发现 : 依照好友反馈，感觉很像是自己瞎掰的 : 再来是"被告"问题 如果厂商有自己的回报机制，只要不违反它的规定 (通常会限制不可以打正在跑的服务) 一般来说不会有问题。 没有的话还是丢平台好了，他们会有完善组织和流程负责被告 :) 有听说电话来不是要问漏洞细节而是要告人的 也有一些讲的很开放，但EULA写说不可以逆向分析，不知道想表达什麽的 这种就说做梦梦到PoC，到底哪里出bug给他们自己烦恼就好 : 为了避免让人觉得小弟在瞎掰的印象 : 势必得透漏部分细节 : 透漏得越多，被告的可能性越高 : 目前小弟打算录一小段实机演示影片 : 把过程中跟演示内容无关的部分上马赛克 : 希望大大们提点需要注意的部分 除非你是Project Zero，家大业大不怕有人来告 漏洞不修? 给你三个月不然强制公开，大家一起来开party 一般做法就是回报 -> 等它修掉 -> (你)公开细节，然後可以发blog、投conference 如果CVE申请是自己填的，也可以附加上去，这样大家就都知道这是你干的 : Q3. 如何避免面试官对小弟"诚信度"的疑虑? : 具规模的公司，通常都会将"诚信度"纳入选才评分中 : (还是这只是小弟的偏见?) : 为了展示此次成果，无可避免地需要揭露一些外人难以得知的资讯 : 然而某某公司内部机密泄漏的新闻时有所闻 : 小弟担心在展示过程中没拿捏好尺度 : 会让面试官心生疑虑 : 这样就陷入了一个微妙的 trade off : 说得详细具体，虽然可信度上升，但会导致个人诚信度下降 : 说得模糊笼统，让人感觉在瞎掰，直接出局 : (让人感觉在瞎掰好像也会降低诚信度) 像面试这种场合私底下讲讲你的发现，我是觉得没什麽关系，不然无从讨论起， 太高调乱搞、弄到上新闻的那种才会黑掉。 漏洞的细节是你的底牌，正常做漏洞研究的人不会没事去翻它， 反过来想免费钓你情报的公司还是别去吧 你可以分享怎麽发现这个漏洞的、用什麽工具、怎麽去分析， 有经验的听了就知道是不是在唬烂 : Q4. 小弟与面试官的认知差距 : 人最害怕的莫过於 不自知 与 自我感觉良好 : 小弟担心前述所有的担忧只是自己的一厢情愿 : 说不定对面试官而言，小弟的成果微不足道，加不了多少分 : 可能面试官更看重的是近期版上热门的"刷题" : 小弟想向有经验的大大请教 : 如果想进入资安领域，一般面试官最重视的项目有哪些？ 以研究员来说，会看你会不会使用分析工具和分析手法 有时候可能给你一个情境问你会怎麽做，做这个看的是你「解决问题」的能力 当然对一般漏洞有哪些型式、利用的方法，还是要有基本的了解 虽然很吃经验，但不见得一定要有丰功伟业才代表你很厉害，很多强者都是很低调的 CVE、CTF 经验、投稿这些当然是加分项，不过没有的话也没关系 这些只是最容易评估你的能力的一个方式 除了口头面试，也有可能给个作业回去做 刷题的话... 如果你有 Codeforces、Topcoder、UVa 帐号， 或 Code Jam、Hacker Cup 得名的话就附吧XDDD 毕竟 ACMer 转 CTFer 都是非常强的，做研究应该也不会弱到哪 不然就去刷一下 pwnable.tw 看看， 不要因为受到打击放弃走这条路就好...实务上的情况没那麽难 : 想凭一个小发现来证明自己的对资安领域的向往或能力，是否太异想天开了？ 资安领域范围很广，甚至不见得需要会写code 我待的公司也有威胁情资分析师是外文系毕业的 虽然比起学生时代会少一些资源能用 (像AIS3这种培训计画) 但要转职也不算晚，个人觉得有兴趣就可以尝试看看 原PO是做韧体相关的工作，想必系统底层、组语之类的都很熟悉吧， 要转漏洞研究领域，满多经验应该都用得上 对了，我不看你拿几张资安证照 那对漏洞研究一点意义都没有 :p --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 125.229.71.95 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1665245768.A.64F.html ※ 编辑: seanwu (125.229.71.95 台湾), 10/09/2022 00:18:32