web漏洞挖掘和二进制漏洞挖掘哪个容易
展开全部
首先这类问题建议你去知乎,百度的回答你也看到了。好了,接下来我回答一下这个问题。要说到哪个容易,要看你个人对漏洞的理解。比如说web,想要做到挖掘,你得熟悉甚至精通一个web框架,比如说lamp,linux+apache+mysql+php,你可以搞定相关的一些问题。学习成本你也看到了。另外是对于漏洞的理解,常见的web漏洞,sql注入,xss跨站,csrf跨站请求伪造,文件上传,命令执行等等。继续说0day挖掘,白盒(比如代码审计),灰盒(黑白盒结合),黑盒(Fuzz)。等等。接着来说二进制漏洞,我理解的二进制是,系统级别的漏洞挖掘。常见的比如缓冲区溢出,内存泄露等,影响比如本地权限提升等等。学习成本就是你要学习汇编,C/C++,了解操作系统知识。熟悉常用的比如OD,IDA Pro等调试工具。另外建议学习一门脚本语言,方便编写poc,这里推荐python。
至于难易程度,自己来决定吧。
至于难易程度,自己来决定吧。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
迈杰
2024-11-30 广告
RNA-seq数据分析是转录组研究的核心,包括数据预处理、序列比对、定量分析、差异表达分析、功能注释和可视化等步骤。数据预处理主要是质量控制和去除低质量序列。序列比对使用HISAT2、STAR等工具将reads比对到参考基因组。定量分析评估...
点击进入详情页
本回答由迈杰提供
展开全部
毋庸置疑的 二进制漏洞。
给你引述一段十五派信息安全的大牛任晓珲的一段话,你就能看得出来,他们本身就是做安全的,对各种漏洞了解的都比较透彻:
web漏洞是web前端安全的内容,注重攻击手法,取得的权限较小,攻击效果有限,以网站数据为主,但是需要的基础知识较少(脚本+数据库+HTTP协议+例如正则表达式或浏览器特性等)。
二进制漏洞又叫软件漏洞,技术为主、思路为辅,更多的是纯技术上的对抗,例如加壳脱壳(逆向分析对抗)、加密解密(逆向+算法对抗)、游戏保护与过保护(反调试对抗)、杀毒与免杀等(综合对抗),在这些对抗中,程序设计、CPU的x86结构、汇编语言、操作系统原理都是根基,PE文件&EDX文件&ELF文件等文件结构、软件逆向、调试技巧都是基础。
你从知识的容量和难度上就能看得出来哪一个容易,哪一个难了。
还有就是两者的侧重点不同,二进制安全注重技术,web安全注重思维和手段。
给你引述一段十五派信息安全的大牛任晓珲的一段话,你就能看得出来,他们本身就是做安全的,对各种漏洞了解的都比较透彻:
web漏洞是web前端安全的内容,注重攻击手法,取得的权限较小,攻击效果有限,以网站数据为主,但是需要的基础知识较少(脚本+数据库+HTTP协议+例如正则表达式或浏览器特性等)。
二进制漏洞又叫软件漏洞,技术为主、思路为辅,更多的是纯技术上的对抗,例如加壳脱壳(逆向分析对抗)、加密解密(逆向+算法对抗)、游戏保护与过保护(反调试对抗)、杀毒与免杀等(综合对抗),在这些对抗中,程序设计、CPU的x86结构、汇编语言、操作系统原理都是根基,PE文件&EDX文件&ELF文件等文件结构、软件逆向、调试技巧都是基础。
你从知识的容量和难度上就能看得出来哪一个容易,哪一个难了。
还有就是两者的侧重点不同,二进制安全注重技术,web安全注重思维和手段。
本回答被提问者采纳
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
