最近2018中文字幕在日韩欧美国产成人片_国产日韩精品一区二区在线_在线观看成年美女黄网色视频_国产精品一区三区五区_国产精彩刺激乱对白_看黄色黄大色黄片免费_人人超碰自拍cao_国产高清av在线_亚洲精品电影av_日韩美女尤物视频网站

Metasploit的創(chuàng)始人、漏洞專(zhuān)家H.D.Moore指出，雖然安全軟件編程人員做得越來(lái)越好，所開(kāi)發(fā)的應(yīng)用程序bug越來(lái)越少，但是應(yīng)用程序數(shù)量的持續(xù)增加卻導(dǎo)致新型軟件漏洞的數(shù)量有增無(wú)減。在2010年RSA會(huì)議的采訪中，Moore解釋了Metasploit怎樣幫助人們測(cè)試系統(tǒng)、檢測(cè)新的軟件安全漏洞問(wèn)題，以便在攻擊者有機(jī)會(huì)利用這些漏洞之前搞清楚新漏洞所帶來(lái)的風(fēng)險(xiǎn)。

10年積累的做網(wǎng)站、成都網(wǎng)站建設(shè)經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶(hù)對(duì)網(wǎng)站的新想法和需求。提供各種問(wèn)題對(duì)應(yīng)的解決方案。讓選擇我們的客戶(hù)得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先做網(wǎng)站后付款的網(wǎng)站建設(shè)流程，更有甘南免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

您能解釋一下Metasploit是如何對(duì)軟件安全做出貢獻(xiàn)的嗎？

H.D. Moore：Metasploit是一個(gè)尋找漏洞的軟件框架，使你可以在滲透測(cè)試中利用這些漏洞。它是一個(gè)真正由社區(qū)主導(dǎo)的開(kāi)源工具套件。一切始于七年前。每當(dāng)一個(gè)新的漏洞被發(fā)現(xiàn)后，我們就會(huì)創(chuàng)建一個(gè)安全版本來(lái)利用它，并把它添加到Metasploit中去，讓網(wǎng)絡(luò)管理員、學(xué)生、研究人員以及政府部門(mén)都能夠?qū)λ麄兊南到y(tǒng)進(jìn)行測(cè)試，從而確保他們的產(chǎn)品和系統(tǒng)得到妥善的修補(bǔ)。所以對(duì)于我們來(lái)說(shuō)，這相當(dāng)于一種供應(yīng)商“相互檢測(cè)和約束系統(tǒng)”（check and balance system）。如果供應(yīng)商說(shuō)，“我已經(jīng)發(fā)布了補(bǔ)丁”，那么你可以用Metasploit來(lái)驗(yàn)證你的系統(tǒng)是否安裝了這個(gè)補(bǔ)丁、補(bǔ)丁是否正常工作等，而不必再去做那些過(guò)去必須做的，用來(lái)確保補(bǔ)丁正常工作的額外工作。

有人曾擔(dān)心Metasploit在公開(kāi)漏洞的整體問(wèn)題方面不夠可靠。您是怎么看的呢？

Moore：可靠的漏洞公開(kāi)實(shí)際上取決于軟件供應(yīng)商。這只涉及到兩類(lèi)人：發(fā)現(xiàn)漏洞的人和負(fù)責(zé)修補(bǔ)漏洞的供應(yīng)商，而他們雙方之間并沒(méi)有正式的合同。一般的流程是：研究人員發(fā)現(xiàn)一個(gè)漏洞并指出問(wèn)題的所在，以及怎樣去利用這些漏洞，然后他們會(huì)把這個(gè)問(wèn)題告訴供應(yīng)商和外界，最后供應(yīng)商修補(bǔ)這個(gè)漏洞。Meatsploit其實(shí)并沒(méi)有卷入到這個(gè)過(guò)程中，我們實(shí)際上所做的只是在漏洞披露或者公開(kāi)之后，讓人們能夠輕松驗(yàn)證他們的系統(tǒng)是否對(duì)這個(gè)漏洞免疫，或者讓人們知道這個(gè)漏洞能夠給他們帶來(lái)的真正影響是什么。

在補(bǔ)丁出現(xiàn)之前，發(fā)布漏洞利用程序?qū)浖踩欣麊幔?/strong>

Moore：在真正的漏洞proof-of-concept程序出現(xiàn)之前，人們對(duì)“某個(gè)漏洞能對(duì)系統(tǒng)帶來(lái)多大影響”的看法只能是猜測(cè)而已。有時(shí)候你的漏洞表面上看起來(lái)非常嚴(yán)重，任何人都好像能在你的電腦上運(yùn)行代碼，但是當(dāng)你真正坐下來(lái)研究這個(gè)問(wèn)題并試圖利用它的時(shí)候，你會(huì)發(fā)現(xiàn)這其實(shí)有很多的限制。如果你開(kāi)啟了數(shù)據(jù)執(zhí)行保護(hù)（DEP），那么不管你運(yùn)行哪種平臺(tái)、或者使用哪種配置，漏洞都不會(huì)帶來(lái)多大的破壞。所以，如果有一個(gè)平臺(tái)能夠測(cè)試這些漏洞、并驗(yàn)證這些軟件缺點(diǎn)所能造成的影響，那么人們不僅對(duì)他們?cè)诰W(wǎng)絡(luò)上能做什么更有信心，而且對(duì)自己的程序能否正常工作也更有信心。

現(xiàn)在，Metasploit中有多少漏洞利用程序和攻擊代碼（payload）呢？

Moore：數(shù)量每天都會(huì)增加幾個(gè)。我估計(jì)我們現(xiàn)在已經(jīng)有大約530個(gè)漏洞利用程序，并且每個(gè)漏洞測(cè)試都有一個(gè)攻擊代碼。除了這530個(gè)利用程序之外，我們還有220個(gè)輔助模型（auxiliary module），可以允許你測(cè)試配置的錯(cuò)誤、進(jìn)行暴力攻擊，并且利用那些不允許代碼執(zhí)行但允許數(shù)據(jù)訪問(wèn)的漏洞，比如，能夠獲取某服務(wù)器上C盤(pán)的內(nèi)容。我們的Metasploit中除了擁有接近500個(gè)不同的CVE（Common Vulnerabilities and Exposures，通用漏洞披露），還有更多的漏洞沒(méi)有CVE標(biāo)識(shí)。其中，并不是每一個(gè)漏洞都進(jìn)行了分類(lèi)、或者被標(biāo)明它是什么以及它意味著什么。

在過(guò)去的一年中，很多事情都發(fā)生了變化。實(shí)際上，你過(guò)去常常自己掏錢(qián)來(lái)支撐Metasploit的開(kāi)發(fā)。在被Rapid7收購(gòu)之后，這個(gè)項(xiàng)目能得到多大的幫助呢？　

Moore：Metasploit可以讓我們把更多的資源投入到真正需要的地方，比如QA質(zhì)量評(píng)估、后端自動(dòng)化，以及數(shù)據(jù)庫(kù)模式等?？墒?，沒(méi)人愿意碰那些沒(méi)意思的框架部分，這在過(guò)去通常是我的差事，發(fā)布一個(gè)新的版本常常都指望我一個(gè)人。我會(huì)花費(fèi)整個(gè)周末來(lái)進(jìn)行測(cè)試、安裝配置、更新網(wǎng)站等?，F(xiàn)在我有了一個(gè)團(tuán)隊(duì)，這樣我可以把工作交給他們，并且能夠更快的完成。所以，我希望此次收購(gòu)對(duì)于這個(gè)項(xiàng)目來(lái)說(shuō)意味著我們能夠更快的更新內(nèi)容、添加更多的功能，從長(zhǎng)遠(yuǎn)來(lái)看，我們還會(huì)更頻繁的發(fā)布更多的版本。

社區(qū)對(duì)于此次收購(gòu)是怎么看的呢?有人反對(duì)嗎？

Moore：隨著我們繼續(xù)推出更多的代碼、更多的版本以及更多的功能，我認(rèn)為懷疑的聲音會(huì)慢慢減少。我們看到許多新的社區(qū)貢獻(xiàn)者加入了我們，因?yàn)镽apid7能夠給這個(gè)項(xiàng)目帶來(lái)穩(wěn)定。以前，人們可能會(huì)在內(nèi)部使用Metasploit，但并沒(méi)有人真正認(rèn)為可以在一年或者兩年以后繼續(xù)指望這個(gè)項(xiàng)目?，F(xiàn)在，我們有了預(yù)算，投入了大量的人力物力來(lái)確保Metasploit的成功，更多的人愿意對(duì)這個(gè)項(xiàng)目作出貢獻(xiàn)，因?yàn)樗麄兿嘈臡etasploit的前景非常光明。

軟件安全性現(xiàn)在有所改觀了嗎？比如說(shuō)，微軟在安全方面已經(jīng)做了很多努力，但是每個(gè)月還是會(huì)發(fā)布大量的安全公告。

Moore：實(shí)際上，軟件安全在細(xì)節(jié)方面已經(jīng)改善了很多。對(duì)于微軟這樣的供應(yīng)商而言，他們?cè)诎踩珕?wèn)題處理方面有大量的預(yù)算，其軟件開(kāi)發(fā)周期中也包含了安全周期，這個(gè)跟5年前或者10年前的情況相比要好得多了。但問(wèn)題是現(xiàn)在軟件供應(yīng)商太多，而人們每天的日常生活又過(guò)于依賴(lài)軟件的使用，比如說(shuō)旅游、上網(wǎng)、預(yù)定出租車(chē)等等，甚至有時(shí)候幾乎所有的事情都會(huì)用到電腦和軟件。而在過(guò)去十年中，每家曾指望微軟為其解決安全漏洞問(wèn)題的公司，現(xiàn)在都不得不自己重新再開(kāi)始做一遍相同的工作。我們之所以有這么多的缺點(diǎn)和漏洞，并不是因?yàn)槟承┕?yīng)商做得很差，只是因?yàn)檐浖?yīng)用程序的數(shù)量每天都在持續(xù)增加。

【編輯推薦】

1. RSA2010:內(nèi)部開(kāi)發(fā)軟件九成存漏洞
2. 近九成的web應(yīng)用程序都存在嚴(yán)重漏洞