近日,GitHub删除了安全研究人员Nguyen Jang发布的概念验证(PoC)漏洞利用代码,该漏洞利用了最近成为业界焦点的微软Exchange软件漏洞。
GitHub的决定立即引发了网络安全行业的争论,即安全研究人员何时应避免发布软件漏洞,以及GitHub之类的软件代码平台应如何管理其用户。
这是一个异常敏感的案例:研究人员发布的是众多国家黑客正在利用的Exchange Server中的漏洞,分析人士担心,网络罪犯在滥用这些漏洞方面也会“不甘人后”。一些安全分析师担心的是,研究人员Nguyen Jang发布的概念验证漏洞可能使其他恶意攻击者能够利用这些漏洞。但Nguyen辩称,发布将促使组织进行漏洞修补。
GitHub发言人表示,删除代码是因为它违反了平台禁止上传“活动”软件漏洞的政策。
GitHub发言人说:“我们知道,概念验证漏洞利用代码的发布和分发对安全社区具有教育和研究价值,我们的目标是在利益与保持更广泛的生态系统之间取得平衡。”
但是Luta Security的首席执行官Katie Moussouris认为,概念验证漏洞利用代码可能起到敦促组织修补漏洞的作用。其他分析师则反驳说,一些小型组织没有足够的资源来快速应用这些修复程序。
一些安全专家说,这并非零和游戏,研究人员其实可以在不公开利用这些漏洞的情况下对其进行探索。安全公司Red Canary的研究主管Matt Graeber敦促研究人员不要发布漏洞利用代码,而应根据他们对漏洞利用的了解,建议用户采取防御措施。
【本文是悠哉网专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
悠哉网 » 专栏
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
悠哉网 » 专栏
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
- 提示下载完但解压或打开不了?
- 找不到素材资源介绍文章里的示例图片?
- 悠哉网 WWW.YOOZAI.NET
