首页
社区
课程
招聘
[原创]淘宝升级程序隐患分析
发表于: 2014-9-15 15:54 4295

[原创]淘宝升级程序隐患分析

2014-9-15 15:54
4295

测试程序 AliMiserUpdate.exe
首先不得不表扬一下淘宝开发人员的运气好
看如下代码


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 3
支持
分享
最新回复 (7)
雪    币: 3542
活跃值: (1867)
能力值: ( LV6,RANK:93 )
在线值:
发帖
回帖
粉丝
2
程序员都是苦逼的命,为了尽快完工就没考虑那么多了,反正上级也不看代码:P
本来没有网络安全,因为有了专门研究安全的人多了就不那么安全了
2014-9-15 16:42
0
雪    币: 341
活跃值: (138)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
3
看看。。。
2014-9-15 16:43
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
只要输入不是可控,只能算是一个BUG,算不上安全漏洞。发帖人多少有些显摆的意思
2014-9-15 17:22
0
雪    币: 967
活跃值: (1138)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
5
输入时可控的啊
没有看到通过命令行控制啊
比如  AliMiserUpdate.exe 11111111111111111111111111111111111111111111111111111111111111111111?n个   2
这样测试就ok 那里1个长度由你控制
2014-9-15 17:24
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
输入是可控的……而且阿里这个程序处于所有安全软件的白名单
还好运气好……
2014-9-15 18:45
0
雪    币: 132
活跃值: (40)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
按理这种大公司 每个程序发布都会有安全检测才对~怎么允许 程序员犯这么大的错误~MultiByteToWideChar的返回值理解错误,谁知它有没用其它地方。
2014-10-26 14:45
0
雪    币: 7
活跃值: (49)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
char in[1024];
RtlFillMemory(in, 1023, '1');
in[1023] = 0;
WCHAR Out[13];
wsprintf(Out, L"%.12ls", in);
话说最近一直觉得这种很好。为什么各种书上推荐的都是MultiByteToWidechar呢。虽然那种能适合多种编码的宽字符。但是觉得这种很好用啊。莫非这种有什么隐患???
2014-10-26 15:37
0
游客
登录 | 注册 方可回帖
返回
//