安全领域的新方向

前几天有人提到这个,的确靠着 PHP 函数和 C 缓冲区溢出挖洞的时代一去不复返了,但新方向还是有的,我一想就想出了几个。

(1)IoT,不解释了,新东西漏洞肯定多,而且很多 To B 的工控产品由于面向内网没防控,一黑黑一大片,就像前几年的 Redis 和摄像头似的。

(2)逆向啥时候都能搞,因为程序在自己手里,无非就是个破解难度的问题。

(3)二进制漏洞的话,基于缓冲区溢出的已经很少了,现代编程语言基本都有边界检测,但是解析器可以搞搞。解析器接受规则非常复杂的文本,有的甚至支持直接执行脚本/宏,忘了测试边界的情况还挺多的。比如 ST2 OGNL 漏洞,PDF 鱼叉攻击(要结合社工),前几年的 XXE。

(4)移动端的 Web 安全。很多人觉得移动端比浏览器更封闭,设计接口的时候就忘了考虑安全。

(5)机器学习模型的攻击,也就是对抗样本。这个是个结合 AI 的新方向,我们实验室有人在做,好像中了去年的 AAAI,其它的不清楚,不是我所在的组。

  • 安全

    安全永远都不是一个小问题。

    154 引用 • 803 回帖 • 555 关注

赞助商 我要投放

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
  • mymoshou

    IoT 的漏洞会是怎样?