返回目录:经济新闻
一旦软件出现bug,除了“杀掉程序员祭天”,唯一能做的就是尽力消灭它们。毕竟,bug不仅会让软件崩溃,还有可能被黑客用来恶意攻击。
因此,如果有人告诉你,保留bug其实是个好主意,你一定会嗤之以鼻。最新一项研究却提出,bug其实还能充当诱饵,显著转移黑客的注意力,让软件躲过攻击。
图 | pixabay
这个方法有点令人困惑:bug基本只有百害而无一利,怎么就能派上用场了呢?
躲在bug之后
其实,有的bug并不算特别严重,它们顶多让程序崩溃。而一些后台程序会在用户不知情时重启软件,从而处理崩溃问题。这些bug是相对良性的,但黑客要寻找的,是那些能被恶意控制的bug。
然而,区分这两种bug并不容易,这一过程是复杂而且耗时的。
于是研究者们想到,何不利用良性bug填充代码,进而欺骗攻击者呢?这样可以使得攻击者耗尽资源来寻找和测试bug, 却最终发现它们可能没什么卵用。这些bug被称为“干扰箔bug”(chaff bug),它们就如同那些可以欺骗雷达的干扰箔一样。
图 | 图虫创意
虽然这是个好点子,但给程序人为添加bug,其实挺困难的,甚至有些冒险。毕竟,随意更改软件的代码,不仅仅会引入异常,软件很有可能彻底失去功能。
不过好在网络安全专家们已经有了自动添加bug的工具,它能利用不同的输入值运行代码,然后观察这些输入会有怎样的结果。于是,专家们就可以找到那些不再被用于计算输出的输入值。
图 | giphy
这些输入值就是所谓的“死亡输入”,它们能破坏内存,或者造成内存溢出。
研究者借用这种方法,在整段代码内添加破坏内存的bug。正常情况下,这些bug并没有严重危害。一旦它们被恶意攻击者发现和利用,也只引发程序崩溃,杀伤力十分有限。
主动添加bug真的没问题吗?
研究者指出,现有的检测进程,都会被他们的方法蒙骗,而且分类工具还会误认为它们是可被利用的。因此,无用bug可以作为一种有效的阻碍,以抵御黑客或自动网络推理系统。
图 | pixabay
然而,这种方法的有效性,都建立在这样的假设下:寻找可用于攻击的bug,一定非常困难和耗时。
如果存在快速且容易鉴别bug的方法,那么这种新方法就没有太大价值。
事实上,研究团队也不想试图隐藏或掩饰问题,他们指出,“bug中存在很多人为的特性,而攻击者们可以利用这些特性,去识别并忽略它们。”此外,这些添加的bug大同小异,攻击者也有可能识别出它们的模式。
图 | unsplash
就算这个方法可行,考虑到后期维护的麻烦,也很难说良性bug就不会让“程序员祭天”了。
不过目前来看,这种方法有巨大的发展潜力。主动向程序中添加而不是减少bug,是一个非常有“心机”的网络犯罪应对方案,它应该会给未来的研究带来一些灵感。
如果想要学习交流PHP的朋友,可以关注小编,私信【学习交流】手机用户可以直接私信,电脑端尚未开放此功能,需要下载app,我已经设置了自动回复,具体后续会自动回复各位。
相关阅读
黑客会编程吗_黑客编程代码大全整人
- 百色金融新闻网经济新闻
- 一旦软件出现bug,除了“杀掉程序员祭天”,唯一能做的就是尽力消灭它们。毕竟,bug不仅会让软件崩溃,还有可能被黑客用来恶意攻击。 因此,如果有人告诉你,保留bug其实是个好主
入侵阿里巴巴的黑客是谁_阿里黑客第一人
- 百色金融新闻网经济新闻
- 美国时间8月13日,在拉斯维加斯,汇聚全球顶级白帽黑客的年度盛典和派对——Black Hat和Defcon,即将落幕。 与往年相比,无论是场地大小、参会白帽黑客数量还是议题数量,今年的Bl
想要成为黑客,首先要学会什么_怎么才能成为一名黑客
- 百色金融新闻网经济新闻
- “我想当黑客,想学信息安全,请问该怎么学?” 据我所知,不少黑客大牛经常被问到类似问题。 但是,通常大家都不爱回答这个问题。 因为问得太宽泛,让人无从作答,稍微展开一
真的存在黑客帮忙追回被骗的钱吗_帮忙盗号的黑客 求助吧
- 百色金融新闻网经济新闻
- 来源:防骗大数据 近期,有网络诈骗受害者接到陌生人私信,自称“黑客”可以帮你追损,而且还是先追损后给钱。这么好的事,你信吗?这当然是骗局!并且是对诈骗受害者的二次诈
黑客软件破解微信聊天记录_
- 百色金融新闻网经济新闻
- 最近很多人留言问能不能获取取微信里面的通讯录,聊天记录等等,我们依次尝试的如下几个方案:总体来说已经实现 1.通过群控,将好友截图发送到服务端(python),利用python的图像
中国最年轻的黑客八岁_
- 百色金融新闻网经济新闻
- 成都商报讯 相较于现实生活中的害羞腼腆,小浩更加习惯隐藏于网络中。隔着千千万万条网线,电脑这一端坐着的是14岁的少年。和千千万万个电脑爱好者相同,小浩喜欢游戏,习惯浏