摘要:
IE、Office 等软件有个共同点,即用文件作为程序的主要输入,但攻击者往往会挑战程序员的假定和假设。文件格式 Fuzz 就是利用畸形文件测试软件的稳健性,其流程一般包括:* 以一个正常文件作为模板,按规则产生一批畸形文件* 将畸形文件逐一送往软件进行解析,并监视异常* 记录错误信息,如寄存器、栈... 阅读全文
cstareli's docs |
|
摘要:
IE、Office 等软件有个共同点,即用文件作为程序的主要输入,但攻击者往往会挑战程序员的假定和假设。文件格式 Fuzz 就是利用畸形文件测试软件的稳健性,其流程一般包括:* 以一个正常文件作为模板,按规则产生一批畸形文件* 将畸形文件逐一送往软件进行解析,并监视异常* 记录错误信息,如寄存器、栈... 阅读全文
摘要:
终于看完第二篇漏洞利用原理高级篇,内容虽然看懂了,但深入理解不够,这部分内容以后还要不断强化。第三篇是漏洞挖掘技术,篇首的话中,提到程序的不可计算性(图灵机的停机问题)、希伯尔数学纲领的失败,结尾说:由于程序的不可计算性,故无法从理论上用数学方法彻底消灭程序中的所有逻辑缺陷,很有启发性。成为有效的攻... 阅读全文
|