增長(zhǎng)黑客:一個(gè)白帽子挖洞最高獎(jiǎng)勵(lì)大概是三十五萬(wàn)美元,你及格了么

如何成為一名白帽子?知乎上有千奇百怪的回答,點(diǎn)贊數(shù)最高的是昵稱長(zhǎng)短短的用戶回答:

對(duì)「語(yǔ)言」、「程序」、「業(yè)務(wù)」保持本質(zhì)的好奇。

意識(shí)到是「漏洞」選擇了你,當(dāng)你歸功于自己的時(shí)候,你的創(chuàng)造力會(huì)被剝奪。

分享,是一種生命力表達(dá)的方式,而不是為了獲得他人的認(rèn)同,不要對(duì)分享抱有索取回報(bào)的心。

你對(duì)你做的事情無(wú)比狂熱,但毫不在意結(jié)果與回報(bào),依賴于結(jié)果,一定會(huì)被吞噬。

In the moment,你沒(méi)有任何目的。

你有計(jì)劃地探索,而不是毫無(wú)意義的「越多越好」。

只有目標(biāo)明確,你才能過(guò)濾外界干擾。

你的量和方向必須一致,效率才能最大化,而為了牛逼而牛逼,方向已經(jīng)錯(cuò)了。

量變到質(zhì)變是永恒不變的真理。

不要覺(jué)得自己在等待什么。

堅(jiān)定,執(zhí)拗,在這群人身上似乎看不見(jiàn)放棄,不過(guò)最近,雷鋒網(wǎng)宅客頻道(微信公眾號(hào):letshome)就在 FIT2018 互聯(lián)網(wǎng)安全創(chuàng)新大會(huì)上聽(tīng)到了一個(gè)“反其道而行”的演講——《Web安全從入門到放棄》。演講人為青藤云安全分析師宮華(CplusHua),在他身上有著螞蟻金服安全應(yīng)急響應(yīng)中心(AFSRC)36W 單個(gè)漏洞現(xiàn)金獎(jiǎng)勵(lì)最高得主、90后的標(biāo)簽,所以何謂放棄呢?

企業(yè)面對(duì)哪些風(fēng)險(xiǎn)?

提到 Web 安全,國(guó)內(nèi)外都會(huì)關(guān)注的一個(gè)話題就是 OWASP Top 10(十大應(yīng)用軟件安全風(fēng)險(xiǎn))。早在今年 4 月份,OWASP(開(kāi)放式 Web 應(yīng)用程序安全項(xiàng)目)就發(fā)布了十大候選漏洞,11月底,在更新了兩個(gè)漏洞類別之后,最終版 OWASP 終于發(fā)布。

挖洞不賺錢?36W白帽大佬:不如放棄

盡管與 2013 OWASP Top 10 相比,企業(yè)安全面臨的威脅在不斷變化。但在此次更新中,注入類漏洞仍以“王炸”姿態(tài)穩(wěn)居 Top 10 威脅之首,另外也有些“新面孔”開(kāi)始被越來(lái)越多人重視,比如失效的身份認(rèn)證、安全配置錯(cuò)誤、失效的訪問(wèn)控制以及不安全的反序列化問(wèn)題等。

雖是“萌新”,但這幾個(gè)問(wèn)題卻不可小覷。

了解到,反序列化問(wèn)題之所以近年被普遍重視,主要是因?yàn)槊看萎a(chǎn)生漏洞較為嚴(yán)重。比如針對(duì)庫(kù)的中間件進(jìn)行反序列化,再利用其獲取更高權(quán)限。大部分攻擊者在運(yùn)行這些中間件(如 weblogic )時(shí)候,可以通過(guò)構(gòu)造惡意輸入讓反序列化產(chǎn)生非預(yù)期的對(duì)象,而非預(yù)期的對(duì)象在產(chǎn)生過(guò)程中就有可能帶來(lái)任意代碼執(zhí)行。

另外身份認(rèn)證問(wèn)題也被提升至較高地位,舉例說(shuō)幾乎每個(gè)網(wǎng)站都有重置密碼功能,而在這其中發(fā)生過(guò)密碼任意重置的網(wǎng)站占據(jù) 50%。這就意味攻擊者可以毫不費(fèi)力地重置用戶密碼并進(jìn)入用戶賬戶,但這一威脅卻在今年才被提升至此高度。

廠商必看,白帽子分幾步找出你們的漏洞?

一口氣是吃不成胖子的,還會(huì)噎死,作為一個(gè)攻擊者或者白帽來(lái)說(shuō),想要找出網(wǎng)站或者企業(yè)漏洞也并非速成,而是小口吃飯。

第一步也是最常規(guī)的操作,即信息收集。攻擊者需要對(duì)企業(yè)進(jìn)行系統(tǒng)的信息整理,包括企業(yè)資產(chǎn),業(yè)務(wù)系統(tǒng)以及企業(yè)使用的服務(wù)器類型、版本、中間件等。梳理這些信息有助于白帽通過(guò)版本對(duì)比或是漏洞探測(cè),觀察是否存在常規(guī)意義上的漏洞。

第二,發(fā)掘漏洞的過(guò)程,不僅要分析業(yè)務(wù)場(chǎng)景,更要分析程序員的代碼思維。

納尼?竟然變成了心理戰(zhàn)?

挖洞不賺錢?36W白帽大佬:不如放棄

為什么要分析程序員?每一個(gè)程序員在進(jìn)行編程工作時(shí),實(shí)際上會(huì)有固定思維方式。也就是說(shuō)可以從某一業(yè)務(wù)交互過(guò)程中展示出來(lái)的內(nèi)容進(jìn)而分析其開(kāi)發(fā)思維,在知道程序員思維方式后就可以找到其在思維上存在的一些漏洞。

宮華表示,在黑盒漏洞挖掘中,通過(guò)這種方式可以模擬程序員思維,再結(jié)合對(duì)業(yè)務(wù)輸入和輸出的模糊探測(cè),從而推測(cè)出程序員的代碼邏輯,進(jìn)而分析是否存在漏洞。

讓人意想不到的一點(diǎn)是這些業(yè)務(wù)系統(tǒng)接口上有時(shí)候存在一些看起來(lái)無(wú)關(guān)緊要的漏洞,似乎不修復(fù)也沒(méi)有問(wèn)題。但是實(shí)際并非如此,一個(gè)成功的漏洞攻擊可以使用多個(gè)低危漏洞或者中危漏洞將其變成高危漏洞。

舉個(gè)栗子,比如黑客入侵商城系統(tǒng),篡改商品訂單數(shù)據(jù),一分錢買 N 元物品的案例在某些網(wǎng)站早期常常發(fā)生,隨后眾多廠商也發(fā)現(xiàn)了這一問(wèn)題,并開(kāi)始采取種種校驗(yàn)手段。

但道高一尺魔高一丈,攻擊者可以通過(guò)控制一個(gè)沒(méi)有做好輸入?yún)?shù)控制的簽名接口產(chǎn)生其想要的輸出。也就是說(shuō)即使在提交訂單的位置無(wú)法篡改訂單金額,但是可以通過(guò)一個(gè)其它接口來(lái)輸入想要簽名的數(shù)據(jù),得到簽名輸出結(jié)果。在得到這一結(jié)果后,就可以偽造一個(gè)合法的訂單或訂單支付成功的回調(diào)。

這就相當(dāng)于一個(gè)“黑盒加密機(jī)”,利用這個(gè)盒子可以進(jìn)行加密或者簽名。但其輸入端是攻擊者可控的,如果攻擊者有這樣的簽名機(jī)器,其可進(jìn)行多種簽名操作,且不需用戶的密鑰信息。

雷鋒網(wǎng)了解到,同樣的問(wèn)題也會(huì)出現(xiàn)在密碼重置場(chǎng)景,一般來(lái)說(shuō)重置密碼時(shí)網(wǎng)站會(huì)給用戶郵箱發(fā)送鏈接,鏈接即 token(此處可以理解為經(jīng)過(guò)“黑盒加密機(jī)”加密或簽名的數(shù)據(jù)或摘要),正常邏輯下 token 由密碼重置接口控制生成。

“但是如果你能夠在目標(biāo)發(fā)現(xiàn)另一個(gè)接口,也能夠產(chǎn)生類似的 token,我們可以考慮是否能夠利用發(fā)現(xiàn)的另一個(gè)接口(加密機(jī)接口),來(lái)產(chǎn)生一個(gè)token去重置目標(biāo)的密碼?!?/strong>

另外,在用戶注冊(cè)過(guò)程中,也可以利用服務(wù)器返回 cookie 的特點(diǎn)獲取用戶名密碼。

有一些網(wǎng)站在用戶注冊(cè)過(guò)程中,會(huì)在注冊(cè)成功后或用戶注冊(cè)成功登錄后,將加密的用戶名、用戶 uid 存放到 cookie 中,然后根據(jù) cookie 中存放的用戶 uid 來(lái)識(shí)別用戶。

“但是該網(wǎng)站的注冊(cè)用戶名卻允許全數(shù)字,因此我們可以通過(guò)注冊(cè)一個(gè)全數(shù)字的用戶名,并在登錄后得到一個(gè)加密數(shù)據(jù),然后將該加密數(shù)據(jù)填充到 cookie 中 uid 對(duì)應(yīng)的位置。cookie 發(fā)送到服務(wù)器后,就會(huì)使用相同的加解密接口來(lái)獲取用戶的 uid。這樣我們就可以登錄使用數(shù)字用戶名注冊(cè)的用戶的 uid 所對(duì)應(yīng)的其他用戶的賬戶了?!睂m華說(shuō)道。

還有一些威脅來(lái)自企業(yè)使用的云上環(huán)境,盡管這可以降低企業(yè)基礎(chǔ)建設(shè)的成本,但這一環(huán)境也存在安全問(wèn)題。宮華提到在他們最近的測(cè)試中發(fā)現(xiàn)有些企業(yè)采取了一些防護(hù)措施禁止云上主機(jī)被其他網(wǎng)絡(luò)或用戶任意訪問(wèn),比如增加了 IP 白名單,只允許企業(yè)自己的主機(jī) IP 地址段范圍進(jìn)行訪問(wèn)。但由于云上特殊性,同一個(gè) IP 地址段還可能存在其他租戶,所以這些基于 IP 地址段的訪問(wèn)策略就極有可能被繞過(guò),從而導(dǎo)致企業(yè)內(nèi)網(wǎng)對(duì)外暴露。

實(shí)際上很多廠家都可能存在類似問(wèn)題,企業(yè)上云所帶來(lái)的漏洞以及風(fēng)險(xiǎn)似乎加倍提升,特別是當(dāng)攻擊者能夠進(jìn)入企業(yè)內(nèi)網(wǎng)環(huán)境就可以發(fā)現(xiàn)更多的內(nèi)網(wǎng)漏洞,危害極大。

“找洞”只是過(guò)程,最終目的還是為了“補(bǔ)洞”,白帽在找出企業(yè)漏洞之后是如何幫助企業(yè)修復(fù)漏洞呢?

一般優(yōu)先通過(guò)企業(yè) SRC 或可信合理的第三方向企業(yè)報(bào)告該漏洞,在報(bào)告該漏洞時(shí)會(huì)附帶對(duì)于該漏洞的修復(fù)建議,同時(shí)企業(yè)也會(huì)內(nèi)部對(duì)該漏洞進(jìn)行評(píng)估并選擇適合自己的修復(fù)方案進(jìn)行修復(fù)。

說(shuō)放棄就放棄?

既然廢了這么多力氣挖洞為什么要講究放棄?

在宮華看來(lái),挖洞這件事因人而異,一種人即文章最開(kāi)始所形容的,熱愛(ài) Web 安全,希望為了企業(yè)安全發(fā)現(xiàn)更多漏洞,并且有自己的思考和研究,這些白帽子則應(yīng)該堅(jiān)持下去。

而另一種人,消耗著自己的時(shí)間,刷一些意義不大的洞,甚至做一些破壞目標(biāo)業(yè)務(wù)系統(tǒng)的事情,通過(guò)這種方式賺錢,才應(yīng)該是放棄的。

這里可以算筆賬,一個(gè)白帽子挖洞最高獎(jiǎng)勵(lì)大概是三十五萬(wàn)美元,但多數(shù)挖洞獎(jiǎng)金都是幾百到兩萬(wàn)美金之間。觀察比特幣漲勢(shì)圖可以知道,通過(guò)刷洞來(lái)獲得的收益并不高,BTC“看起來(lái)”更輕松而更有利潤(rùn)空間,既然是為了賺錢,為什么不放棄 Web 安全,而去利潤(rùn)空間更大的其他平臺(tái)賺錢呢?

本文來(lái)自雷鋒網(wǎng),作者:又田。

GrowthHK(Growth Hacker):雙創(chuàng)環(huán)境下,創(chuàng)業(yè)者需要將想法落地為產(chǎn)品,通過(guò)市場(chǎng)驗(yàn)證出該商業(yè)模式的可行性,并以此吸引投資加速渠道擴(kuò)展,從而實(shí)現(xiàn)產(chǎn)品的大范圍推廣;增長(zhǎng)是創(chuàng)投環(huán)境中對(duì)各階段數(shù)據(jù)的考量,而增長(zhǎng)黑客就是要你成為一個(gè)懂產(chǎn)品運(yùn)營(yíng)、市場(chǎng)營(yíng)銷、渠道推廣、商業(yè)模式的全方位增長(zhǎng)型人才;

本文經(jīng)授權(quán)發(fā)布,不代表增長(zhǎng)黑客立場(chǎng),如若轉(zhuǎn)載,請(qǐng)注明出處:http://gptmaths.com/cgo/product/4750.html

(0)
打賞 微信掃一掃 微信掃一掃 支付寶掃一掃 支付寶掃一掃
上一篇 2017-12-28 00:06
下一篇 2017-12-28 00:13

增長(zhǎng)黑客Growthhk.cn薦讀更多>>

發(fā)表回復(fù)

登錄后才能評(píng)論