iT邦幫忙

鐵人檔案

2019 iT 邦幫忙鐵人賽
回列表
Security

資安補漏洞,越補越大洞 系列

現在資訊發展快速,各式各樣的資訊產品也不斷推陳出新,有的廠商只考慮到產品功能性,卻忽略了其安全性;有的廠商很認真修補漏洞,但還是常常被發現產品有漏洞存在,總之就是防不勝防。而國內外有那些處理漏洞的單位?他們是如何運作的?如果自己發現漏洞應該如何處理?這次利用30天,就請各位讀者跟我一起認識各種千奇百怪創意十足的資安漏洞吧!

鐵人鍊成 | 共 30 篇文章 | 118 人訂閱 訂閱系列文 RSS系列文
DAY 1

[Day 1] 漏洞是什麼?能吃嗎?

大家好,本人是個菜鳥分析師,不論是技術學識都仍待加強,去年在被一群好心人士趕鴨子上架騙來參加iT邦幫忙鐵人賽,很感謝各位評審的抬愛,有幸得到優選,今年再度來參賽...

2018-10-16 ‧ 由 WLLO 分享
DAY 2

[Day 2] 國內有哪些漏洞協處單位?

不論國內外,都有不少的組織在協助處理漏洞,今天就先來介紹國內有哪些可以協助處理漏洞的單位,首先是民間組織所建立的平台HITCON ZeroDay。 相信資安界的...

2018-10-17 ‧ 由 WLLO 分享
DAY 3

[Day 3] 國際有哪些漏洞協處單位?

昨天介紹了國內兩個可以協助處理漏洞的組織,今天就來介紹幾個國外的,首先就是鼎鼎大名的MITRE。 講到MITRE大家可能沒聽過,但講到CVE大家一定有聽過了吧(...

2018-10-18 ‧ 由 WLLO 分享
DAY 4

[Day 4] 國際漏洞編號標準有哪些?

既然只要有程式運算邏輯存在的地方就可以出現漏洞,那大家要如何分辨現在討論的是不是同一個漏洞呢?現在資訊廠商及其產品多如牛毛,更不用說每個產品的不同版本也可能會有...

2018-10-19 ‧ 由 WLLO 分享
DAY 5

[Day 5] 這個漏洞有多嚴重? [上]

現在資訊產品的漏洞這麼多,有些影響程度很輕微,放著不理他也不會造成很大的影響,但有些漏洞如果沒修補,就會導致大型悲劇,例如前陣子沸沸揚揚的WannaCry勒索病...

2018-10-20 ‧ 由 WLLO 分享
DAY 6

[Day 6] 這個漏洞有多嚴重? [下]

昨天介紹了CVSS的一些歷史發展,以及CVSSv3.0的項目介紹及基本矩陣群,今天繼續來介紹暫時矩陣群及環境矩陣群是在做什麼的呢? 首先,昨天有提到CVSS分數...

2018-10-21 ‧ 由 WLLO 分享
DAY 7

[Day 7] 漏洞種類百百種? [上]

今天開始來講講漏洞有哪些種類呢?每個漏洞研究人員對於同樣一個漏洞的描述方法都不盡相同,對於漏洞的種類要如何區分,以及分到多細一定有更多的爭論,今天要介紹的就是一...

2018-10-22 ‧ 由 WLLO 分享
DAY 8

[Day 8] 漏洞種類百百種? [下]

漏洞種類 CWE 昨天先大致介紹了通用弱點列舉 (Common Weakness Enumeration, CWE)計畫,那要如何在這個計畫中找到弱點資訊呢?...

2018-10-23 ‧ 由 WLLO 分享
DAY 9

[Day 9] 找到漏洞好興奮,我想給他一個名份 [上]

資安研究人員往往要耗費大量時間,才能挖掘出一個漏洞,而他們有時也會藉由替漏洞申請CVE編號來證實自己的能力,而今天開始將會用兩天的時間來介紹一個漏洞要符合哪些資...

2018-10-24 ‧ 由 WLLO 分享
DAY 10

[Day 10] 找到漏洞好興奮,我想給他一個名份 [下]

昨天介紹完前3項判斷標準,今天就來講後5項判斷標準吧!後五項的比較像是政策類的判斷,而非昨天令人頭昏眼花的技術類判斷,所以會輕鬆一點。 編號發給規則 (Incl...

2018-10-25 ‧ 由 WLLO 分享