V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 1524 days ago, the information mentioned may be changed or developed.
家里亲戚在英国留学,遇到一些课业上的问题,小弟虽说编程 10 余载,但此类问题还是爱莫能助,如有哪位大神能协助,必定感谢。
主要方向在提供的 linux 系统下,识别程序中的漏洞( C 语言),并给出一个 CWE 分类名称,解释问题原因,如何修复漏洞等。
如不符合节点或者发布要求,请删除,感恩。
 |
1
MoYi123 Mar 1, 2022
有问题就把问题写出来, 不能公开的问题就留联系方式, 你这样的说是想让别人怎么回复呢?
|
 |
2
illl Mar 1, 2022 via iPhone
应该是 cve 编号吧
|
 |
4
wudi77 OP @illl Identify the vulnerability in the program vulnerable and give the name of a CWE which categorises the
vulnerability type most closely. Briefly explain the vulnerability and identify in general how and why can an attacker abuse it. |
 |
5
luny Mar 1, 2022  1
这个看着是一个比较大的工程,漏洞扫描,一般安全软件公司做的活,不是能简单实现的。
类似病毒扫描,针对对应的 CVE ,使用特定的程序代码分析扫描,工作量不小 |
|
7
luny Mar 1, 2022
比如可以挑选一些近年主流的针对程序的 CVE 漏洞,分别编写攻击、识别代码,再做系统性的分析整合、分类。
单独的漏洞,代码量一般都不大。 |
|
8
luny Mar 1, 2022
如果是研究生课题,单个的分析攻击代码可能不是主要的,关键要体现你的 系统架构、快速识别、快速分类的能力,这块可能需要仔细设计一下
|
|
9
luny Mar 1, 2022
外行,仅供参考
|
 |
11
sky96111 Mar 1, 2022 via Android
我觉得可以参考一下 metasploit scanner ?
|
 |
12
D0n9 Mar 1, 2022
买本漏洞战争看
|
 |
13
Greenm Mar 1, 2022 via iPhone
你这个描述听起来像是代码扫描,但你又要 CWE ,到底是 SAST 还是 DAST 呢,又限定了 c 语言,就按你是一个代码扫描器吧,参考下开源方案。
|
|
14
Greenm Mar 1, 2022 via iPhone
楼上连 cwe 都不认识,认为是 cve 的就不要听了,这两不是一个难度的。cwe 结合一下开源方案搞一套不难的,但是从头开始做工作量就不小了。
|
 |
15
codehz Mar 1, 2022
怎么听起来要炼丹(
传统思路大致就是静态分析,符号执行,动态分析( fuzz ) 我记得隔壁 CodeQL 就有类似 cwe 的识别 但是如果要创新性的话,那还是炼丹比较容易水出来,用前面的工具给公开的代码一顿标记,然后预处理后上 CNN 啊,RNN 一类的分类器,大致就可以做了) |
 |
16
Hconk Mar 1, 2022
|
|
17
Hconk Mar 1, 2022
解释和修复方式应该可以直接从 https://cwe.mitre.org/data/definitions/658.html 上抄一下
|
 |
18
datiewang Mar 1, 2022
到底是你留学还是我留学,还是说另有其人。
|
 |
21
liuzy1999 Mar 1, 2022
codeql 试试呗,正好它官方提供了针对各种 cwe 问题的扫描脚本
|
 |
22
polaa Mar 1, 2022
列一下课程大纲?
单从仅有的描述感觉就是最基础的二进制漏洞分析 ,不过既然说如何修复,那么应该是有源码的那种,那么就时代码审计,就更简单了 |
 |
23
freelancher Mar 1, 2022
学生的作业不是应该自己搞定吗?
|
|
24
freelancher Mar 1, 2022
感觉偏安全这块的,有点难吧。要专门做这块的人。钱少人家也不愿意来。
|
 |
25
wat4me Mar 1, 2022
c 语言代码审计?钱少估计没人来的
|
Select Language