漏洞搜索机器人即将浮出水面
机器人黑客大赛(CGC)的机械钓鱼 (Mechanical Phish)的源码已经在GitHub上开源( https://github.com/mechaphish/mecha-docs ),它能够编写自行发现漏洞并对漏洞进行修补的程序。
在本月初黑客大会的CTF竞赛中,由加州大学圣塔芭芭拉分校的Giovanni VignalShellphish团队以机械钓鱼项目获得了第三名,与此同时,卡内基梅隆大学的ForAllSecure团队和维吉尼亚大学的 GrammaTech TechX团队分别获得了第一和第二名。
对软件进行安装配置在当前阶段十分困难,一方面是因为机械钓鱼项目的实现方案将是“一种折磨”,另一方面是因为软件的说明文件还不完备。
机械钓鱼基于加州大学圣芭芭拉分校的angr二进制分析框架。目前,就连该框架的配置文件都比机械钓鱼项目本身更加完备。
“缺失”可能是对这种状况最好的形容词。“整个项目的说明文档非常少。我们希望安全社区能够参与进文档编写中来。”(尽管这明显是属于先有鸡还是先有蛋的问题)
项目据称包含很多组件,包括任务计划、API调用、入侵决策、任务执行、一般功能和知识库。
困难的地方出现在“工人”部分。它包含Shellphish开发的漏洞自动利用组件Rex、Patchrex的自动补丁引擎、基于Python的Fuzzer漏洞检查工具、Angr的concolic追踪引擎、智能漏洞检查工具Driller,外加几个封装器。
小组在项目中写道:“在网络安全挑战大赛之前没有什么蓝图,因此我们在开发的过程中基本是随机应变。”这导致机械钓鱼项目“非常复杂”,并且由“神秘的黑客工具集合”组成。因此,它拥有“未加工的元件、缺失的文档和机器中的幽灵”。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 中美关系能够有一个更好的未来 4913135
- 2 维权平台现多起小米汽车退定投诉 4970341
- 3 男童去世身上多处伤 父亲:生母被拘 4866104
- 4 以新质生产力引领经济增长 4795249
- 5 90%的年轻人担心自己有病 4657615
- 6 盘点雷军资本版图 4578887
- 7 蔡磊回应再捐1个亿 4459925
- 8 吴磊吃绿鸡蛋食物中毒 4316490
- 9 北京辟谣图书馆有偿招志愿者 4254887
- 10 iPhone16Pro外观或更光滑 4187228