提问的智慧:有时问半天,没人鸟,真的只能怪自己

  • A+
所属分类:安全闲碎

晚上下班回家,收到一封来自罗马尼亚的邮件,对方是位安全研究员,来对我的博客(http://riusksk.me)表示感谢,其实我也未曾想到这中文博客还有老外在看。不过他主要还是来提问的,关于CVE-2019-0618漏洞的问题。


提问的智慧:有时问半天,没人鸟,真的只能怪自己


CVE-2019-0618是我之前报给微软的 GDI+ 堆溢出漏洞,在2月补丁中修复的,当时微软是定为严重级别的远程代码执行漏洞。如果你有关注微软补丁公告的话,可以发现最近几月里,微软共修复了我报告的10个GDI漏洞。


对方问了我3个问题,简单翻译总结下:

  1.  是否fuzzing到的漏洞?

  2. 他自己写代码fuzzing,并附上代码,但未能重现,同时IDA逆向分析了下,写了分析思路,想问我方法是否正确?

  3. 是否有好的学习资料可以推荐?


像这种类似问题,回归国内,估计就变成下面其中一句话了:

  1.  ”这个漏洞是怎么挖的,教教我?“

  2. ”收徒吗?“

  3. ”有偿提供xx服务,感兴趣吗?“


这种自然是鸟都不鸟的,对于罗马尼亚这位网友,最后我还是一一回答了下。当然,如果你们直接问我怎么回的,我也是不鸟的。


这里我想说的是,提问前,应该自己先思考解决,尝试各种方法实践过,别一上来就想要答案。在安全圈广为流传的那篇《你尽力了吗?》,值得大家再回味一下。


上面这种问题,其实是很普遍的,但下面这种情况,估计也就我遇到过了。

之前有位读者认真思考提了个问题,然后我定睛一看,里面不正是盗版的《漏洞战争》吗?


这就不是思考与否的问题了,这是公德心问题!!!


最后,我没回复,也没追究,毕竟大家都年轻过,但请低调,也多理解下每个作者的不易。





本文始发于微信公众号(漏洞战争):提问的智慧:有时问半天,没人鸟,真的只能怪自己

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: