网络安全漏洞挖掘实战经验与入门指南
一、心态建设
SRC(Security Response Center,安全应急响应中心)是一场多对多的较量。对手不仅是研发、测试和安全人员,更是与自己打一场持久战。心态至关重要。
换个简单的说法:总有新功能在 Web 应用上部署,只要有网站存在,就必然会有漏洞。但既然选择了漏洞挖掘,就要做好面对几天甚至几周一无所获的心理准备。只有足够坚信自己,保持耐心,才能在漫长的挖掘过程中小有成就。不要急于求成,技术积累需要时间沉淀。
二、SRC 参与规则与潜规则
1. 了解平台规则
什么是 SRC?它是企业或组织设立的安全应急响应中心。市面上存在各种厂商的安全应急响应中心,不同平台的评分标准、奖励机制和收录范围各不相同。
第一步: 详细阅读平台的漏洞评分标准。例如,某些网站根本不收反射型 XSS 漏洞,如果你一直尝试提交此类漏洞,纯属浪费时间。务必先读规则,再动手。
2. 明确测试范围
SRC 平台通常会有规定的众测任务,并限制测试范围。切勿超出范围! 超出的目标不仅不会给漏洞审核,还可能涉及非法测试的法律风险。这是原则问题,必须切记。
3. 遵循合规规范
例如 SQL 注入测试会有严格要求,哪些数据不能读取、最多读取多少条等。SQL 注入可不要随意删除或篡改数据,否则可能触犯法律红线。这是职业操守和法律底线。
4. 关注奖励机制
有些平台的礼品和赏金非常丰厚。在合规的前提下,选择奖励机制合理的平台进行挖掘,能更好地激励自己持续学习。
三、信息收集阶段
在详细了解了域名范围后,就要对旗下的域名范围进行信息收集。如果连需要测试的网站都不知道,测试无从谈起。
1. 子域名收集
这里有一些在线的子域名收集工具,以及子域名挖掘机(软件类)。在各大安全社区论坛都有相关文章可以进行学习。信息收集不仅仅是子域名收集,更重要的是网段以及扩展域名的查找。
2. 扩展域名查找
扩展域名怎么找?
- Whois 查询: 通过注册人、联系邮箱进行关联查找。
- HTML 代码分析: 检查网页源码中是否包含其他内部链接或资源地址。
- IP 段分布: IP 段的收集不能说收集完了就了事,需要通过 IP 分布来确定核心段、边缘段、云服段等。
3. 框架识别
需要知道目标厂商开发喜欢使用什么框架。至于怎么去找使用框架,可以查看目标厂商的招聘网站看看,说不定有惊喜。在边缘段中一般会存在 N 台测试机器,测试机器是我们最好的突破口。因为测试机器往往不会关闭 debug 模式,并且登录账号通常为弱口令。
四、漏洞挖掘实战
参照着评定规则进行漏洞的挖掘。常见漏洞类型包括:XSS、SQL 注入、CSRF、权限绕过、文件上传、弱口令、代码执行等。
我们不要心机,每个都进行测试,往往会什么也得不到,一项一项来。
1. 漏洞扫描器使用
关于漏洞挖掘过程中的扫描器使用问题:网上有很多扫描器的存在,例如 AWVS、AppScan 等重型扫描器。但是很多网站是有防护系统的,例如某些大厂会轻易封掉你的 IP,往往得不偿失,而且重型扫描器也可能会对网站造成危害,慎用。
推荐的话用 BBscan 这种轻量级的扫描器去扫,重点放在路径的扫描,比如说有没有 403、404 的站点,爆破 API 接口端点、路径一些。还是不要太依赖于扫描器,强是强,但是还是自己来的踏实!
2. 常用工具详解
在和高手的聊天中,他们都不怎么使用扫描器去进行测试。这里给大家推荐两个工具:
第一:Burp Suite 浏览器推荐使用 Chrome 和 Firefox 浏览器,可以使用很多代理插件。Burp 上可以添加很多插件实现不同的功能,抓包改包很是方便,重放和密码爆破各种功能都是神器无疑。
第二:Fiddler Fiddler 在进行并发测试的时候很舒服,功能和 Burp 各有千秋。对于 HTTP/HTTPS 协议的调试,这两个工具是基础必备。
3. 入手点选择
上来对提交的一些表单(例如:意见反馈、文件上传等)要特别敏感,还有就是一些功能点(例如:付款的金额校验、修改密码的 sign 值替换等)。进来多找功能点的进行测试,不要对着 HTML 一直有想法,毕竟不会 HTTP 协议层的攻击,新手入门可以多在意一些数值溢出,以及接口的利用,还有就是任意文件上传这些点,慢慢在培养自己的自信心。
