Questions tagged «vulnerabilities»

假设我正在审查求职者发送的证明其技能的代码。显然，我不想运行它们发送的可执行文件。不太清楚，我宁愿不运行其代码的编译结果（例如，Java允许在注释中隐藏可运行的代码）。 编译他们的代码呢？我需要编译器警告，但是如果它们的代码包含一些巧妙的字符序列，这些序列会利用我的编译器并且我的编译器危害了我的机器，该怎么办？ 当我用Google搜索“编译器漏洞”时，得到的所有信息都与编译器优化和代码发布有关，以及所发出的代码是否与原始源代码一样安全。 编译器是否通常经过验证，以确保它们在编译一些巧妙的代码时不会危害用户计算机？从陌生人那里编译一段代码有多安全？

41 security  source-code  compiler  vulnerabilities 

在为我公司的项目工作时，我需要构建功能，以允许用户将数据导入竞争对手的站点/从我们的竞争对手的站点导入/导出数据。这样做的时候，我发现了一个非常严重的安全漏洞，总之，它可以在竞争对手的网站上执行任何脚本。 我的自然感觉是本着诚意向他们报告这个问题。利用这个问题来获得优势，这使我心烦意乱，但是我不想走这条路。 所以我的问题是，为了帮助他们，您是否会报告直接竞争的严重漏洞？还是闭嘴？有没有更好的方法来解决这个问题，也许至少可以从我通过报告问题来帮助他们的事实中获得至少一些好处？ 更新（澄清）： 感谢您到目前为止的所有反馈，我们非常感谢。如果我要补充一点，我要补充的是，所涉及的竞争是市场的庞然大物（在几个大洲有数百名员工），而我的公司才在几周前才成立（三名员工），您的答案是否会改变？不用说，他们绝对不会记得我们，并且，如果有的话，只会意识到他们的网站需要工作（这就是我们首先进入这个市场的原因）。 这可能是道德上或商业上的折衷之一，但我很欣赏所有建议。

37 business  security  ethics  vulnerabilities 

我正在大学上一门课程，其中一个实验室是对它们提供给我们的代码执行缓冲区溢出攻击。范围从简单的漏洞利用到改变堆栈上某个函数的返回地址以返回到另一个函数，一直到更改程序寄存器/内存状态然后返回到您调用的函数的代码，这意味着您调用的函数完全不会利用该漏洞。 我对此进行了一些研究，并且即使在现在，此类漏洞利用仍在很多地方使用，例如在Wii上运行自制程序以及iOS 4.3.1不受限制的越狱行为。 我的问题是为什么这个问题很难解决？显然，这是用于黑客攻击数百件事情的主要漏洞，但似乎很容易解决，只需截断超出允许长度的任何输入，然后对所有输入进行清理即可。 编辑：我想从另一个角度考虑问题-为什么C的创建者不通过重新实现库来解决这些问题？

23 c  vulnerabilities  buffers 

已关闭。这个问题需要更加集中。它当前不接受答案。 想改善这个问题吗？更新问题，使其仅通过编辑此帖子来关注一个问题。 4年前关闭。 与硬件的密切联系存在许多安全风险，这与使用高级编程语言经过测试和验证的API形成对比。与诸如Java之类的语言相比，用C引起缓冲区溢出要容易得多。 每个C程序员都应该意识到哪些风险或漏洞（例如缓冲区溢出）（与C程序员相关的IE漏洞）？这些可能导致什么问题？如何避免它们，以及导致这些错误在程序中发生的常见错误是什么？

13 c  security  low-level  vulnerabilities 

函数f()将eval()我创建并存储在local_file运行程序的计算机上的数据使用（或存在危险）： import local_file def f(str_to_eval): # code.... # .... eval(str_to_eval) # .... # .... return None a = f(local_file.some_str) f() 安全运行，因为我提供的字符串是我自己的。 但是，如果我决定将其用于不安全的事物（例如用户输入），则可能会发生严重错误。另外，如果local_file停止在本地，则将创建漏洞，因为我需要信任也提供该文件的计算机。 如何确保我永远不会“忘记”该功能使用不安全（除非满足特定条件）？ 注意：eval()很危险，通常可以用安全的东西代替。

10 python  vulnerabilities