12 KiB
有关漏洞挖掘的一些总结
点击关注 👉 马哥网络安全 2024-11-18 09:00
时隔一年多以后再次看本文,依然给我一些启发,尤其是经过一定量的实践以后,发现信息收集真乃漏洞挖掘(渗透测试)的本质,这里再次回顾一下本文,尤其是里面如何评估一个项目(目标)的难度,值得学习与借鉴,对于新手而言,学会寻找"软柿子"很重要!
一次随想,一次失败:
有时候闲聊的时候,总会迸发出很多想法。我记得那是2022年年初,那时我记得我每天晚上下班后,就在家打游戏玩,这让我觉得很不好。过去,上学那会,我放学后,总是会回去挖挖漏洞,学习学习。
现在就只有白天在公司学习学习,而下班回去,就很少学习了,这种感觉很糟糕。毕竟我还年轻,还是要靠技术吃饭的,技术是我绝对不能丢的。为了回到最初的感觉,我又回归漏洞挖掘了,再次尝试Src/众测之路。
和朋友也正好闲聊了下,想着闲着也是闲着,找点事做,我们尝试下挖下国外漏洞,一直挖的国内漏洞,对国内可以说非常熟悉了,我们转型挖下国外吧。
就这样一拍即合,2022年,一整年,已经挖国外整整一年了。
前期我参阅了h1上很多给予赏金的厂商,自认为个人漏洞挖掘能力还算不错,我选择了shopify这个厂商,选择的理由很简单:
- 漏洞最少奖励500刀
2.以前挖阿里src比较多,对于电商类型网站,相对比较熟悉一些。
真的很难挖。shopify的业务,大多为店铺门户网站,功能点琐碎繁多,和朋友坚持挖了大半个月,期间朋友还请了软件测试工程师,帮忙熟悉梳理业务逻辑。期间提交了一些业务上的逻辑bug,认为是系统设计上的缺陷,不过提的那些bug都被安全审查员驳回了。晚上放弃了休息,坚持挖2个小时,得到这样的结果,还是很难受的。
对大哥,我总是觉得愧疚,毕竟我的朋友花了钱,和我一起做事情。最后这个事情无疾而终,他也没有说什么,感谢他的包容。但是我们还是坚持了下来,当初我坚持挖了半个多月,有很多原因。挖shopify的时候,即使没挖到漏洞,我也收获了很多。
1.熟悉了业务逻辑
2.学习了一些英语知识
3.了解到了海外在安全上使用的技术,了解了国外的技术栈
4.锻炼了心态,心性
这些对我而言,回首2022年一整年,这些都是宝贵的财富,他们使我坚韧不拔,使我变得强大。我想说人怎么看待失败,完全取决于你赋予失败什么意义。你对他的看法,赋予它的意义,决定了很多。
合作
和大哥经常沟通学习,受影响最大的是他对我说的,一个人想做大做强,你需要的是合作,是人和人之间互相帮助协作。就像互联网技术,技术之间存在关联性,理论上来说技术不是单一的存在,而是多个点的连续。1+1+1效果一定是>3的。
挖掘海外业务,想从海外淘金,是非常枯燥和困难的一件事情,我知道一个人很难坚持,长夜漫漫,最好有个伴一起,不孤单。
我出自芳华绝代安全团队,是芳华绝代的创始人之一,而我们团队另一个创始人,也是漏洞挖掘技术超绝,他有一次群里提了一嘴挖国外,我就直接找他合作了,我觉得这是一次机会。我正式确认了合作伙伴。
小试牛刀
我又重新选了一个h1的项目,项目地址 https://hackerone.com/semrush?type=team 一个在线可视化管理平台
当初挖他的想法很简单 1.报告公开比较多 2.功能点多而杂 3.可以注册,方便测试功能点。
这个厂商,也是非常打击自信心的一个项目,和shopify一样难挖。两个人坚持挖了一个月,共提交7份漏洞报告,有效报告为四个。总计挖了250刀!
可想而知,想在海外市场,赚老外的钱,是多么的困难。
这次的事情,虽然只收获了250刀,但是给我们带来极大的自信。即使是强如Semrush,也能挖出漏洞来,找出缺陷。
收益小不可怕,我们害怕长期时间的投入挖掘,得不到一个结果。
后面就是我不断的思考,利用我们的优势,选择适合我们的目标,指定方案。
那段时间我没事做,看了矛盾论,看了毛选。那时候我的热情很大,对于海外漏洞挖掘,是当作事业来做的,每晚开会复盘,写文章,写笔记。
这是部分记录:
展翅飞翔
很多时候,我们觉得做一件事很困难,大概率是因为思想策略出了问题,一旦找到属于自己熟悉的领域,迅速如鱼得水!
后面我的决策很简单,改变方法,改变策略。很多事情,其实心里没有结果,但是得尝试下,我们还年轻,我们有时间投入。
不停的尝试,尝试选择挖掘n个厂商,终于选择了适合我们的厂商
如何尝试判断一个目标是不是适合自己?我的策略是:选出3个目标,对3个目标依次进行攻击。挖掘时间:2周内
一个厂商,经过2周的摸索,大概就知道薄弱点如何,缺陷点在哪里。我会给我们2周时间进行摸索。大部分厂商都适用于2周定律。
2022年,在海外市场上总共提交了166个安全漏洞
有效严重的p1漏洞提交高达124个。
在bugcrwod上,荣获p1提交榜年度top20,bugcrowd总排行榜前100名的好成绩。
我想说,这个成绩是史无前例的,2023年,能不能突破我现在这个成绩,我很难给予答案。反者道之动,盛极必衰。
我想说现在还是比较焦虑的,在漏洞挖掘领域深耕多年,未来漏洞肯定越来越少,这是必然的。但是我们总得前行,关于未来的不确定,我们能做的就是过好当下。
结论:思想策略执行大过努力,思想建设大过技术。2023年,我的主题不变,try do it!! try才有可能,只有尝试才能无限可能。
漏洞挖掘一些心得体会:
年末,我还是画了一些脑图,这边也分享给大家,一些心得体会:
1.高赏金业务安全测试 适用于google/facebook等大厂:
2.业务资产难度快速评估:
3.攻击难度快速评估:
总有人问我漏洞挖掘技巧,个人觉得真正的漏洞挖洞技巧始终是心法,心理上不能认输,漏洞挖掘是一门艺术:
1.耐心一点
2.认真一点
3.仔细一点
4.贵在坚持
聊聊漏洞挖掘中,常遇到的一些问题
国外有些业务安全做的真的很好。说下自己在挖国外遇到的一些奇葩情况:
1.日谷歌的时候,我发现谷歌的核心业务,大多数有做参数封装混淆,一般我们常见的js,css混淆,谷歌会对参数进行半混淆,对json body进行全局的encode。
极大的增大了漏洞挖掘的时间成本,比如说唯一标识符uid,uid参数会被混淆为a b c d等,在你尝试理解数据包参数的时候,带来了极大的困扰,相当考验耐心。
2.仍然是对请求参数做处理,使用第三方安全厂商封装了原请求,所有的请求被二次转发,他不是全参数加密,而是对请求数据包进行很大的封装混淆
3.session_state自刷新跳转问题,间隔几分钟,不管有没有点击页面,都会原页面进行新认证,生成新的session_state,原token失效,对自动化检测非常不友好
4.restful api大量使用graphql查询
5.大量的使用csp用来防范xss攻击
6.绝大多数站点隐藏了自身特征,看不出来具体的网站结构,甚至看不出来使用到的技术
7.使用欺骗高仿真蜜罐系统,混淆你,让你以为是漏洞返回,其实是一个蜜罐返回结果,存在欺骗性,非常容易被欺骗。要格外注意固定返回,以及脏数据问题。
8.数据防重放问题,使用时间戳等
对于未来的看法
web黑盒越来越吃力了。难度越来越大了,对渗透测试工程师极具挑战性。现在日站和过去日站不一样的地方在于,现在需要投入更多的时间,需要更多的耐心。
随着微服务,未来上云,传统安全漏洞,再渐渐消失了。挖一个少一个,传统的dba大多会被云dba取代,很多很多,规范上云是大部分企业的宿命。
服务saas化拎包入住,直接卖服务,也是以后的趋势。web安全需要转变,不断的学习了解新知识。
渗透,漏洞挖掘要想做的好,一定要站得足够高和广,绝不是简单的看看站那么简单,简单的安服,最终只会被取代。现在,此刻,你说你不知道微服务,网络拓扑,不懂网关这些是不行的。
作为一名合格的渗透测试工程师,或者漏洞挖掘er,至少要了解这些知识
不需要太精通,至少要了解,以应付未来多变的技术环境,毕竟我们还年轻,还得靠技术吃饭!
路在脚下,莫向外求:
初挖src,众测的朋友,很多人总想走捷径,总是问我有没有快速挖到漏洞的技巧,我想说有的,但是那些快速的技巧,只能让你挖一些小漏洞,很难挖到大漏洞。
关于漏洞挖掘技巧,我准备抽空单独写一篇文章出来。对于新手,我觉得更多的是激励他们坚持下去,坚持去做,坚持做,你坚持一个月就战胜了90%的敌人。
附上2张图共勉:
此为日常burpsuite Repeater栏目测试记录框。星光不问赶路人,时光不负有心人。
原文:https://www.cnblogs.com/piaomiaohongchen/p/17015605.html
排版来自:迪哥讲事
END