以下的问题来自知乎,侵权即删
现在的安全从业者都选择了做安全研究。我也是其中一员而且是很菜的那一类,但是大型软件和系统的漏洞数量是有限的,而且挖掘起来往往非常困难。我现在就一个都挖不到,特别迷惘痛苦。当时入行时,看着各路大牛各显神通,系统、浏览器、大型框架几乎是随意挖掘。做着CTF的赛题,感觉挖洞也不会太难,然而现实残酷。那么没有挖到漏洞的安全研究员/从业者过着什么样的生活呢?不仅仅是KPI,当跳槽时简历上空空荡荡,一个大厂CVE编号都没有的时候,我都不敢想像以后的出路了。
首先,“大型软件和系统的漏洞数量是有限的”这个观点需要纠正。安全是动态的,除非一个软件永远不升级,否则每个升级都有可能引入新漏洞。而即使一个软件永远不升级,否则每个升级都有可能引入新漏洞。而即使一个软件永远不升级,软件运行环境的升级、与之耦合的其他软件的升级,也都有可能导致之前不存在的问题。
CTF的题目,是有意审计出来的,目标是让多数选手能在几个小时到十几个小时内找出来;而现实中的漏洞,是无意产生的,可能很容易被发现,也有可能及其隐蔽。对于比较著名的软件来说,因为厂商的安全水平通常会高一些,更重要的是有全时间的安全研究者盯着,所以能留到让你去发现的漏洞可能不会很简单。
在探索为止时,信念很重要。你在解CTF的Pwn题时,是确知一定有漏洞的,是知道有人在一间黑屋子里放了一个金币的。但在现实中挖掘漏洞时,就像迈入了一片无边无际的黑森林,不知道哪里有路,不知道前方是什么,什么都不知道。如果信念不足,很可能会在距离金币几步之遥的地方退缩。
我们实验室有几个同学,之前在学校几乎没有接触过Windows漏洞,但半年之后,就能在一线软件中发现很多漏洞了。他们做了一个仙姑,在全世界一般的杀毒软件中都发现了安全漏洞。今年我们在Pwn2Own上用的漏洞,我只在漏洞利用上给了一些建议,漏洞挖掘过程基本没有参与,全是这些同学们自己做的。
还有个同学,在学校的时候甚至没有怎么做过时间的漏洞挖掘。但在经历了一段不算长的钻研过程后,现在大概每年100个CVE。
刚开始做漏洞研究、几乎都必须经历一个大量学习练习,并需要在产出不理想的状态下对抗自我怀疑的阵痛期。这个阶段一定要坚持住。建议你和导师或者直接上级聊一聊,他们应该可以给你一些方向上的建议,帮你建立信心。