在2019年的年底,因为单位里的另一个1个师父辞职再加之总体的某些变化,我接任了Seebug等某些对外开放的工作。但我必需认同的是,做为后乌云时期立即接任的常用漏洞平台No.1,在时代的变迁中慢慢落下帷幕了。在我运营管理的期内,尽管我以我的层面数次升级了全新升级的Seebug维护规则,都更改不上安全圈愈来愈完善的现况。大家愈来愈不用1个能沟通交流常用漏洞的平台了。假如手上有效果好的0day,她们会挑选bugcloud、补天五星,乃至私底下交易掉。假如手上自身时不太好用的0day,Seebug也给出不来适合的价钱,还比不上干脆立即公开出来。
就算是以后404这里发布了女娲娘娘方案来载重这一部分顶级常用漏洞的加收,也没法防止,Seebug在加收漏洞这一部分上,愈来愈变成1个无关紧要的功能向。因此在2019年我接任的前期,我更想要加强他的漏洞百度收录特性,这也是一直以来到2021年的Seebug的关键特性。(这是一个埋下伏笔)
在2019年的年底,因为我的老大让我建议看一下Chrome扩展程序,赶在那时候有些人公布了1个evernote的扩展程序漏洞,因此我开始了全面的科学研究,相继写了2~3篇有关的内容以后终于是得到某些成效,那时候觉得还挺好玩儿的,尽管是老调重弹的攻击空间向量,可是真如果说有关的安全科学研究,反倒搜来搜去仅有2~3篇毕业论文。那时候感受依然挺大的,也打算了有关的某些漏洞打算事后做一个话题。(这里肺炎疫情埋下伏笔)
在科学研究Chrome扩展程序的历程中,实际上探寻了许多挖掘漏洞的方案,为了更好地能自动化技术挖掘chrome扩展程序漏洞,我一时兴起,花了几个月立即给Cobra-W加了Js的扫描引擎,大致也是根据AST的回朔深入分析方案,仅仅对比PHP而言,Js的许多钩子函数让我产生了许多困惑。这也是让我的第一次意识到我对静态扫描的科学研究多贫乏。
也恰好是在此次突破口下,在和小伙伴闲聊的历程,我认识到了业内流行的源伞,及其那时候挺火的CodeQL等静态黑盒软件,也初次认识到历程间深入分析、根据IR的某些深入分析方案。我第一次感受到我触及了前行的困境,这是我首位真真正正萌发离去创宇的念头。我逐渐感受到我逐渐来到抢地自蒙的处境。
还没有评论,来说两句吧...