白帽子漏洞挖掘实战经验分享
一、资产收集
作为网站的安全测试,资产收集是第一步。主要目标是收集主域名的二级、三级子域名,以及相关的 C 段 IP 和开放端口。
1. 子域名扫描
使用 Layer 等工具进行子域名爆破。填入目标域名(去掉 www),选择线程数。DNS 解析通常默认即可,若在内网环境需配置内网 DNS。枚举接口时保持默认勾选,端口探测可针对常见 WEB 端口(80, 443, 8080 等)。
2. 端口探测
扫出子域名后,使用 Nmap 或脚本过滤生成 C 段并进行端口探测。Nmap 常用参数包括 -T4 -A -v,若遇到防火墙限制可添加 -Pn。Zenmap 图形化工具便于保存常用配置。
3. URL 采集
利用搜索引擎(如 Bing、百度)的特定语法采集 URL。注意区分国内版与国际版引擎的配置差异,以提高收录率。
防御建议:
- 定期清理未使用的子域名。
- 配置 WAF 拦截异常扫描请求。
- 限制 API 接口的访问频率。
二、漏洞挖掘
1. 弱口令漏洞
登录口是弱口令的高发区。常见用户名如 admin、test,密码尝试 top500 字典。若前端进行了 MD5 加密,需在发包前对 payload 进行加密处理。
验证码绕过: 部分验证码形同虚设,可直接爆破;若为有效验证,可使用自动化工具测试其逻辑漏洞。
防御建议:
- 实施强密码策略,禁止常见弱口令。
- 增加登录失败次数限制及验证码机制。
- 对用户名存在性提示进行模糊化处理。
2. Struts 命令执行与 Java 反序列化
Struts 框架常存在命令执行漏洞,特别是文件名为 .action 或 .do 的系统。Java 反序列化漏洞则多见于 JBoss、Weblogic 等容器。
代码示例:
public class CodeBlock01 {
public static void main(String[] args) {
int x = 3;
System.out.println("普通代码块内的变量 x=" + x);
int x = 1;
System.out.println("主方法内的变量 x=" + x);
}
}
JSP 站点通常存在上传漏洞或命令执行风险。
防御建议:
- 及时更新 Struts 及相关框架至安全版本。
- 避免反序列化不可信数据。
- 最小化 Web 容器的权限。
3. 短信轰炸
针对客户端缺乏严格认证的场景,如注册、找回密码、绑定手机号等环节。攻击者通过更换 IP 或手机号批量发送验证请求。
检测方式: 使用 Burp Suite 拦截数据包,放入 Repeater 模块测试发送频率限制。
防御建议:
- 后端校验 IP 频率限制。
- 引入图形验证码或行为验证。
- 限制单手机号每日接收上限。
4. SSRF 漏洞
SSRF(服务端请求伪造)可用于探测内网服务。例如构造 http://10.10.10.12/ssrf.php?url=http://10.10.10.11/11.jpg 探测内网。
防御建议:
- 禁用内网协议(file, gopher 等)。
- 对 URL 进行严格的白名单校验。
- 防止 DNS 重绑定攻击。
三、总结与建议
挖漏洞时不要死磕单一目标,具备脚本编写能力(如 Python)可实现批量检测。对于 SQL 注入类漏洞,可结合命令执行或反序列化扩大危害。提交漏洞时标题应准确描述危害等级。
新手可从 edusrc、cnvd 入手积累积分,进阶后可关注补天、盒子等平台获取现金奖励。建议设定明确目标,持续学习通用漏洞原理,提升挖掘效率。
网络安全是一个不断演进的过程,掌握基础原理并配合工具使用,才能在实战中取得成果。同时,务必遵守法律法规,仅在授权范围内进行测试。
