晚上下班回家,收到一封来自罗马尼亚的邮件,对方是位安全研究员,来对我的博客(http://riusksk.me)表示感谢,其实我也未曾想到这中文博客还有老外在看。不过他主要还是来提问的,关于CVE-2019-0618漏洞的问题。
CVE-2019-0618是我之前报给微软的 GDI+ 堆溢出漏洞,在2月补丁中修复的,当时微软是定为严重级别的远程代码执行漏洞。如果你有关注微软补丁公告的话,可以发现最近几月里,微软共修复了我报告的10个GDI漏洞。
对方问了我3个问题,简单翻译总结下:
-
是否fuzzing到的漏洞?
-
他自己写代码fuzzing,并附上代码,但未能重现,同时IDA逆向分析了下,写了分析思路,想问我方法是否正确?
-
是否有好的学习资料可以推荐?
像这种类似问题,回归国内,估计就变成下面其中一句话了:
-
”这个漏洞是怎么挖的,教教我?“
-
”收徒吗?“
-
”有偿提供xx服务,感兴趣吗?“
这种自然是鸟都不鸟的,对于罗马尼亚这位网友,最后我还是一一回答了下。当然,如果你们直接问我怎么回的,我也是不鸟的。
这里我想说的是,提问前,应该自己先思考解决,尝试各种方法实践过,别一上来就想要答案。在安全圈广为流传的那篇《你尽力了吗?》,值得大家再回味一下。
上面这种问题,其实是很普遍的,但下面这种情况,估计也就我遇到过了。
之前有位读者认真思考提了个问题,然后我定睛一看,里面不正是盗版的《漏洞战争》吗?
这就不是思考与否的问题了,这是公德心问题!!!
最后,我没回复,也没追究,毕竟大家都年轻过,但请低调,也多理解下每个作者的不易。
本文始发于微信公众号(漏洞战争):提问的智慧:有时问半天,没人鸟,真的只能怪自己
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论