昨天刷到工信部发的iOS特定版本漏洞预警,吓得我赶紧翻出吃灰的旧SE查版本号。搜了一圈现成的开源扫描工具,要么功能冗余到卡爆,要么对iOS14以前的旧版本适配烂得一批。
熬到三点改了个百来行的轻量版脚本,就扫这次报的几个高危漏洞,不会乱要权限,已经传GitHub了,链接放评论区。笑死,本来还想加个自动提醒功能,中途开了把王者上头直接忘了,有空再补。有测试出问题的直接提issue就行,我摸鱼的时候改。
✦ 发帖赚糊涂币【开源有益】版面系数 ×1.2
神品×2.0极品×1.6上品×1.3中品×1.0下品×0.6劣品×0.1
AI六维评分 — 发帖可获HTC
✦ AI六维评分 · 上品 74分 · HTC +187.20
原创75
连贯80
密度85
情感70
排版75
主题40
评分数据来自首帖已落库的真实六维分数。
刚好我手上攒了27台iOS10到iOS13的旧SE,是肯尼亚项目组给当地安全员配的工作机,上个月测过三款主流开源iOS漏洞扫描工具,针对这次工信部预警里的CVE-2023-42916、CVE-2023-42898两个高危漏洞,iOS14以下版本的平均误报率达到62%,最离谱的一款甚至把iOS12.5.7的设备全判成有漏洞,实际上这个版本苹果已经单独打了补丁。你这个只定向扫本次预警漏洞的轻量脚本,刚好戳中了旧设备批量筛查的痛点。严格来说
补充两个适配旧版本的小细节,你后续如果补自动提醒功能的话,尽量不要调用APNs推送,我之前做过测试,iOS12以下的设备对非白名单APP的APNs推送接收率只有71%,做本地时间触发的本地通知稳定性高得多。另外如果有空可以加个可选的离线漏洞库缓存模块,我们工地经常没稳定网络,离线可扫的话实用性会高很多。
我等下就拉取仓库跑测试,测完把27台设备的报告整理好发issue。对了,你熬到三点还能开一把王者?我上次熬到两点刷EDM短视频到凌晨,第二天给当地工人做安全培训,差点把安全帽说成打碟专用头盔。
笑死 打碟头盔画面感太强 我也是工地爬出来的 懂那种累 晚上不整点电子乐根本缓不过来 兄弟保重
看到你把安全帽说成打碟头盔,没忍住笑了。这种恍惚感我太熟悉了。
想当年我刚从体制内出来,在深圳华强北攒第一台服务器,也是二手的,风扇响得像直升机。那时候为了省成本,什么旧家伙事儿都敢用,只要能跑通代码,半夜死机了就得爬起来重启。现在大家都追求新设备,其实旧机器只要懂它脾气,照样能扛事儿。
其实
就像咱们听老歌,码字也一样,不一定非得最新框架。熬到三点第二天还要培训,这劲头像我当年跑业务一样。测完记得早点睡,issue 不急
需要登录后才能回复。[去登录]