web漏洞挖掘和二进制漏洞挖掘哪个容易

大哥，打扰一下，web漏洞挖掘和二进制漏洞挖掘哪个容易

最新回答

吧唧妳壹口

2024-04-11 10:13:37

首先这类问题建议你去知乎，百度的回答你也看到了。好了，接下来我回答一下这个问题。要说到哪个容易，要看你个人对漏洞的理解。比如说web,想要做到挖掘，你得熟悉甚至精通一个web框架，比如说lamp,linux+apache+mysql+php，你可以搞定相关的一些问题。学习成本你也看到了。另外是对于漏洞的理解，常见的web漏洞，sql注入，xss跨站，csrf跨站请求伪造，文件上传，命令执行等等。继续说0day挖掘碰清，白盒(比如代码审计)，灰盒(黑白盒结合)，黑盒(Fuzz)。等等。接着来说二进制漏洞，我理解的二进制是，系统级别的漏洞挖掘。常见的比如缓冲区溢出，内存泄露等，影响比如本地权限提升等等。学习成本就是你要学习汇编，C/C++，了解操作系统知识。熟悉常用的比如OD,IDA Pro等调试蚂吵备工具。另外建议学习一门脚本语言，方便编写poc,这闷毁里推荐python。
至于难易程度，自己来决定吧。

你瞎啊撞我心上了

2024-04-11 09:22:42

毋庸置疑的二进制漏洞。
给你引述一段十五派信息安全的大牛任晓珲的一段话，你就能看得出来，他们本身就是做安全的，对各种漏洞了解的都比较透彻：
web漏洞是web前端安全的内容，注重攻击手法，取得的权限较小，攻击效果有限，以网站数据为主，但是需要的基础知识较少（晌伍脚本+数据库+HTTP协议+例如正则表达式或浏览器特性等）。
二进制漏洞又叫软件漏洞，技术为主、思路为辅，更多的是纯技术上的对抗，例如加壳脱壳（逆向分析对抗）、加密解密（逆向+算法对抗）、游戏保护与过保护（反调试对抗）、杀毒与免杀等（综合对抗），在这些对抗中，程序设计、CPU的x86结构、汇编语言、操作系统原理都是根基，PE文件&EDX文件&ELF文件等文件结构、软件逆向、调试技巧都是基础。
你从知识的容量和难度上就能或绝看得衫谨姿出来哪一个容易，哪一个难了。
还有就是两者的侧重点不同，二进制安全注重技术，web安全注重思维和手段。

我要回答

匿名回答

web漏洞挖掘和二进制漏洞挖掘哪个容易

您可能感兴趣问答

Collapsible

热门标签

热点问答