挖洞,摸鱼
2019-10-23
漏洞是存在的,只是你没有挖到?那为什么别人就能挖的到呢?想一想里面的原因是什么?技不如人,还是军火库不充足,装备不够,作战不熟练,对武器功能不了解。
2018年的6月份从北京到上海的安服团队,当时没有挖过什么漏洞,之前的经验算是纸上谈兵,学习基础的安全理论,实战经验比较少。刚来的时候,领导是对你有期望的,但是一个月的时间里面,大家一起做移动的众测项目,你没有挖出来什么漏洞。但比较牛的同事都挖出来了一些高危,比如SQL注入、逻辑漏洞遍历手机号来查看全省的个人信息,XSS、任意文件读取、SSRF、Github信息泄露。这些漏洞对当时的自己来说是挖不到的,没有实战经验,之前都是看别人的漏洞,搭建环境自己来去本地测试。好像是井底之蛙,跳不出当时的围城。更多是自己的原因,没有坚持下去,一点一点的去磨练,没有成果就会去放弃。来到安服团队后,和领导的期望有点偏差,第二个月就被派到了RS驻场,从8月份到来年的4月份。8个月的时间,还是有点进步的,那个时候开始独自去挑起一个项目,每天基本上都会有一两个网站的测试,挖到第一个漏洞的兴奋,慢慢的积累经验。从补天漏洞平台上去复现其他白帽子的漏洞,别人能挖到的,你为什么挖不到呢?按照葫芦画瓢。开头是难的,总想着挖到,心急。其实要慢慢的来,一个个功能的去了解熟悉,总会找到漏洞的。
去年10月份开始向补天上提交漏洞,从野战开始的,第一个漏洞是在看新闻挖到的,一个随意的搜索处的XSS,到后面发布文章的存储型XSS。运气很好,就这样一步步的来,向补天提交了近20个漏洞。从12月份开始去复现其他白帽子挖出来的漏洞,相继复现了100个,逐渐找到了一些门路,算是入门了。在新的项目中也能找到一些小漏洞了,不会再像之前那么尴尬了。但是和同事之间还是有差别的,自己挖到的只是小虾米,他们挖到的才是大鱼。
借着在RS驻场的几个月,专门为一家公司服务,算是半个甲方。做一些常规的安全渗透、应急。感觉到了工作的轻松,朝九晚五,食堂的饭菜味道还可以。如果是其编制人员的话,生活的话应该还算滋润,不会有互联网公司的那种高压力。也正是这几个月,对漏洞的挖掘有了一点进步。春天来了,自己当初想着要考一个CISP证书再跳槽。但面试了一家甲方,勉强达到了其要求,知识面有广度,但是深度不够,基本上可以胜任工作的。
4月初换了工作,来到了真实的甲方。近距离的来体验甲方安全。这次还是来说说关于漏洞的事情。首先是对公司众测后的漏洞进行复现,然后建设应急响应中心,收集外面白帽子提交的漏洞。众测的漏洞是阿里云的大牛提交的,src是外面的白帽子提交的。又一次刺激到自己的内心,为什么别人都能挖到这样的漏洞,而你只是挖到了个反射性的XSS。
一直在反思,差距在哪里?很多时候那些漏洞不是很难的,你为什么没有找到?为什么?为什么?
技术能力,经验、积累、信息收集、耐心、细心、坚持、漏洞的敏感性、nday、自动化。
-
已知漏洞Nday的积累,常见的CMS、组件、框架的漏洞。比如泛微oa、Fastjson的漏洞,这个平常需要多关注其漏洞,并要知道其利用攻击方式,在实战中才可以得心应手。
-
常见的漏洞的深入理解。比如XSS、注入、逻辑漏洞,容易出现漏洞的功能点,以及常用的payload和绕过方式。
-
信息的收集。 域名的大量收集,公众号、github的信息,以及敏感目录的扫描。很多时候一些敏感信息别人能找得到,而你就不行,你的字典不够用,收集信息不到位。
-
工具的熟练使用。不要局限在一种工具上面。抓包有很多种工具,burp不行,用Fiddler。每个功能的数据包都要去分析研究,这样才能知道那个参数点存在问题。抓包修改测试其中的数据,看看返回结果。
-
多去尝试,不要给自己设置思路。你也测过x域名,为什么还被别人挖出来了那么多的漏洞。因为你只是点点其中的页面,没有去抓包,更没有多去思考其中的功能点会出现什么漏洞。还有一个邮箱登陆页面,你只是跑了http协议,https怎么没去做呢?即使有了这个登陆页面,你可能还是测不出来,因为你的用户名密码不够,字典还不够强大。很多时候不是一成不变的,对于不同的测试对象,用户名要根据企业的规律来设置。
-
原理细节深入了解。不但但是漏洞,其他知识点以及生活问题也是这样。多去想的深入一些,了解得越深,你才能掌握的更加扎实。这个过程需要你去多补充知识点,学习新的知识。学习有时候热度很好,但是要有所用,多去实践加强自己的理解。也要所有产出和总结。
-
源码的分析和自动化工具的开发。多去看看别人分析的技术文章以及开源项目。自己之后要怎么去编写自动化的脚本,学习他们的设计理念。
-
国外一些新技术的时刻关注,新的知识总是需要花时间研究的,看了一遍不懂是正常的,多去实践重复。
从去年的6月份到今年,在挖掘漏洞这方面还是有进步的。在漏洞平台上提交过一些漏洞,还在国外的漏洞平台提交了几个,虽然是重复,但这只是一个开始,需要坚持下去。
想起来小时候在河里摸鱼的场景,夏天穿着小裤衩,在混浊的小河里面摸鱼,摸到一条鱼的喜悦心情,足够让自己兴奋一天。现在工作中的挖漏洞,也要有一颗少儿心,为了快乐的同时也在挣些生活费,多去下河捉鱼。