[读书笔记]捉虫日记[A Bug Hunter's Diary]

最新推荐文章于 2019-02-27 10:07:28 发布
最新推荐文章于 2019-02-27 10:07:28 发布
阅读量1.3k 收藏
点赞数 1
分类专栏: 读书笔记 文章标签: 读书笔记 漏洞 bug
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaosongyuan/article/details/10189071
版权
本文是书生的读书笔记,分享了阅读《A Bug Hunter's Diary》的感悟。这本书以捉虫人的独特视角出发,为程序员提供了看待和预防漏洞的新视角,有助于提升编程安全意识。
摘要由CSDN通过智能技术生成

/********************************************************************

* 不落魄的书生的记事簿[blog.csdn.net/songyuanyao]

********************************************************************/


(书生注:这本书站在捉虫人的角度看问题,可以带给编程人员新的认识和角度。

 
总结一下可以看出,作者发现的bug都是特别简单的case。
  多数都是用户输入数据检查不足/类型转换问题/测试用例分支不足等,
  导致的溢出/空指针访问/非法地址访问等。)

第1章  捉虫

第2章  回到90年代

[漏洞]
未验证用户数据,导致栈缓冲区溢出
[利用手段]
控制用户数据(长度与内容)使其覆盖EIP

第3章  突破区域限制

[漏洞]
返回值(出力值)有两个且有可能返回状态不一致(覆盖测试不充分),导致空指针解引用
[利用手段]
(非特权用户)在零页内存空间中填充设计好的数据,控制解引指针指向结构体的函数指针地址,并在该函数执行时获取控制权

第4章  空指针万岁

[漏洞]
最低0.47元/天 解锁文章
songyuanyao
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
hadoop个人笔记bug日记
02-06
hadoop个人笔记bug日记
捉虫日记
csdn1232的博客
08-16 130
捉虫日记》基本信息原书名:A Bug Hunter’s Diary:A Guided Tour Through the Wilds of Software Security 作者: (德)克莱恩(Klein,T.) [作译者介...
A Bug Hunter's Diary
11-23
The primary goal of this book is to provide you with practical exposure to the world of bug hunting. After reading this book, you will have a better understanding of the approaches that bug hunters use to find security vulnerabilities, how they create proof-of-concept code to test the vulnerabilities, and how they can report vulnerabilities to the vendor. The secondary goal of this book is to tell the story behind each of these seven bugs. I think they deserve it.
说一下《捉虫日记
另一个空间
02-05 1207
终于还是没忍住,提一下这本自认还算及格的翻译图书,《捉虫日记》。 豆瓣上有各电商网站的购买地址,不贵,也正好够卓越的免运费金额了。 图灵社区有勘误。 豆友laoar的书评很不错。 豆瓣上有试读,图灵社区也有几篇。捉虫日记之“回到90年代”,捉虫日记之“铃音大屠杀”(1),捉虫日记之“铃音大屠杀”(2)。 摘译了几则amazon上的评论,豆瓣地址,图灵社区地址。 最后附上译者序。
捉虫日记In Life(一)
littlebo01的专栏
11-12 893
情商低的人伤不起。
A Bug Hunter's Diary.pdf
12-15
A excellent book on vvulnerabilities
A.Bug.Hunters.Diary.A.Guided.Tour.Through.the.Wilds.of.Software.Security 笔记
爱杀之爪的矩阵
11-24 715
一 kernel 漏洞 的空指针引用 利用 1. Trigger the NULL pointer dereference for a denial of service. 2. Use the zero page to get control over EIP/RIP. 第三章那个内核漏洞的利用真是经典啊 二  开源系统的系统驱动漏洞查找  Step 1: List the
C++ 学习笔记10
无知的我
07-14 35万+
Design and implement a simple spell checker.   许多常用字处理软件都内置了拼写检查程序。请设计和实现自己的拼写检查程序。可以在程序中建立字典文件。   dictionary.txt abandon abandonment
bilibili【考研英语词汇】
热门推荐
echoecho的博客
02-27 51万+
1、abandon vt.离弃,遗弃,抛弃;放弃。 放纵,放弃 a-否定(前缀)band-布带on 布带不在自己身上,放纵,放弃 band n.条,带;乐队;波段;v.绑扎 一群人绑在一起:乐队,一群 bandagen绷带v用绷带扎缚 -age永恒的(后缀) band- ~ban-(前缀) banner横幅,旗帜(商店的旗帜) 在小带子上写的字:slogan...
英语考研词汇
血染风采2019
09-20 2万+
1.With my own ears I clearly heard theheart beat of the nuclear bomb. 我亲耳清楚地听到原子弹的心脏的跳动。 2. Next year the bearded bear will bear adear baby in the rear. 明年,长胡子的熊将在后方产一头可爱的小崽. 3. Early I searched t
《一只萤火虫的旅行》读书笔记.doc
05-14
《一只萤火虫的旅行》读书笔记
《一只萤火虫的旅行》读书笔记.docx
05-26
《一只萤火虫的旅行》读书笔记
一键导出微信读书的书籍和笔记-爬虫python代码
06-12
如何运行 # 跳转到当前目录 cd 目录名 # 先卸载依赖库 pip uninstall -y -r requirement.txt # 再重新安装依赖库 ...# 开始运行 python pyqt_gui.py ...——学习参考资料:仅用于个人学习使用!...本代码仅作学习交流,切勿...
app-diary:关于心情和笔记的 OwnYourData 日记
05-31
使用 OwnYourData 日记,您可以轻松记录每天的心情和笔记。 然后可以将这些数据与您所在地区的花粉计数相关联。 有关更多信息和屏幕截图,访问 Docker 镜像: : 改进 OwnYourData 日记 请在报告新功能/用户体验...
捉虫日记In Work
littlebo01的专栏
11-12 812
日记一事,明日悟一理,积久而成学。
[读书笔记]黑客与画家[Hackers.and.Painters]
不落魄的书生的记事簿
08-22 1687
(书生注:这本书写的不错。针对程序员,可以带来不同角度的想法,有助于反思自己的程序员工作。我甚至从中发现了自己爱用铅笔的原因。。。  尤其是其中关于黑客的定义,包括黑客认为的乐趣和目的,让人更深层次思考自己工作的意义。  翻译的人也真不容易,满篇都是译注,谁是文艺复兴时的艺术家,做过什么,谁又是什么理论家,有什么思想。。。   下面留下一些印象较深的话,就当笔记了。) [译者序]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值