有关漏洞挖掘的一些思考和总结

admin 2023年1月7日14:28:24安全文章评论4 views3805字阅读12分41秒阅读模式

有关漏洞挖掘的一些思考和总结

本文作者为缥缈红尘,也是笔者接触到的一个漏洞挖掘方面做的比较好的一个童鞋,这是他写的一个年度总结,里面很多内容写的比较实在,这里就转载一下里面的主要内容.

2022年对我个人来说,也是很魔幻的。年初,经历了上海长达2个月的疫情封控,当时也是大批老年人死亡去世,他们得不到有效的医疗治疗,每当中华民族每个人遇到生死存亡之际的时候,中国的医疗水平总是不能眷恋到每一个子民,总有人提前离我们远去。这次年末的放开也是一样,你医保有钱,子女们腰包里有钱,成车成车的往医院跑,仍然无法挽救一个个鲜活的生命,看着家里的老人,或者自己的至亲,在疾病中远去,从疾病中倒下,我们是痛苦的,经历者的内心是煎熬无力的,是绝望的。大部分的老百姓害怕的不是昂贵的是医疗费,而是等不到治疗。别让等待成为一种遗憾!

希望这次疫情中华民族可以走向胜利。可以增强,加大覆盖中国的医疗资源,提供提出高效惠民的医疗方案,尽最大全力为我们老年人,孩子们,提供最佳的解决方案。

一次随想,一次失败:

有时候闲聊的时候,总会迸发出很多想法。我记得那是2022年年初,那时我记得我每天晚上下班后,就在家打游戏玩,这让我觉得很不好。过去,上学那会,我放学后,总是会回去挖挖漏洞,学习学习。

现在就只有白天在公司学习学习,而下班回去,就很少学习了,这种感觉很糟糕。毕竟我还年轻,还是要靠技术吃饭的,技术是我绝对不能丢的。为了回到最初的感觉,我又回归漏洞挖掘了,再次尝试Src/众测之路。

和朋友也正好闲聊了下,想着闲着也是闲着,找点事做,我们尝试下挖下国外漏洞,一直挖的国内漏洞,对国内可以说非常熟悉了,我们转型挖下国外吧。

就这样一拍即合,2022年,一整年,已经挖国外整整一年了。

前期我参阅了h1上很多给予赏金的厂商,自认为个人漏洞挖掘能力还算不错,我选择了shopify这个厂商,选择的理由很简单:

  1. 漏洞最少奖励500刀

2.以前挖阿里src比较多,对于电商类型网站,相对比较熟悉一些。

真的很难挖。shopify的业务,大多为店铺门户网站,功能点琐碎繁多,和朋友坚持挖了大半个月,期间朋友还请了软件测试工程师,帮忙熟悉梳理业务逻辑。期间提交了一些业务上的逻辑bug,认为是系统设计上的缺陷,不过提的那些bug都被安全审查员驳回了。晚上放弃了休息,坚持挖2个小时,得到这样的结果,还是很难受的。

对大哥,我总是觉得愧疚,毕竟我的朋友花了钱,和我一起做事情。最后这个事情无疾而终,他也没有说什么,感谢他的包容。但是我们还是坚持了下来,当初我坚持挖了半个多月,有很多原因。挖shopify的时候,即使没挖到漏洞,我也收获了很多。

1.熟悉了业务逻辑

2.学习了一些英语知识

3.了解到了海外在安全上使用的技术,了解了国外的技术栈

4.锻炼了心态,心性

这些对我而言,回首2022年一整年,这些都是宝贵的财富,他们使我坚韧不拔,使我变得强大。我想说人怎么看待失败,完全取决于你赋予失败什么意义。你对他的看法,赋予它的意义,决定了很多。

合作

和大哥经常沟通学习,受影响最大的是他对我说的,一个人想做大做强,你需要的是合作,是人和人之间互相帮助协作。就像互联网技术,技术之间存在关联性,理论上来说技术不是单一的存在,而是多个点的连续。1+1+1效果一定是>3的。

挖掘海外业务,想从海外淘金,是非常枯燥和困难的一件事情,我知道一个人很难坚持,长夜漫漫,最好有个伴一起,不孤单。

我出自芳华绝代安全团队,是芳华绝代的创始人之一,而我们团队另一个创始人,也是漏洞挖掘技术超绝,他有一次群里提了一嘴挖国外,我就直接找他合作了,我觉得这是一次机会。我正式确认了合作伙伴。

小试牛刀

我又重新选了一个h1的项目,项目地址 https://hackerone.com/semrush?type=team 一个在线可视化管理平台

当初挖他的想法很简单 1.报告公开比较多 2.功能点多而杂 3.可以注册,方便测试功能点。

这个厂商,也是非常打击自信心的一个项目,和shopify一样难挖。两个人坚持挖了一个月,共提交7份漏洞报告,有效报告为四个。总计挖了250刀!

有关漏洞挖掘的一些思考和总结

可想而知,想在海外市场,赚老外的钱,是多么的困难。

这次的事情,虽然只收获了250刀,但是给我们带来极大的自信。即使是强如Semrush,也能挖出漏洞来,找出缺陷。

收益小不可怕,我们害怕长期时间的投入挖掘,得不到一个结果。

后面就是我不断的思考,利用我们的优势,选择适合我们的目标,指定方案。

那段时间我没事做,看了矛盾论,看了毛选。那时候我的热情很大,对于海外漏洞挖掘,是当作事业来做的,每晚开会复盘,写文章,写笔记。

这是部分记录:

有关漏洞挖掘的一些思考和总结

展翅飞翔

很多时候,我们觉得做一件事很困难,大概率是因为思想策略出了问题,一旦找到属于自己熟悉的领域,迅速如鱼得水!

后面我的决策很简单,改变方法,改变策略。很多事情,其实心里没有结果,但是得尝试下,我们还年轻,我们有时间投入。

不停的尝试,尝试选择挖掘n个厂商,终于选择了适合我们的厂商

如何尝试判断一个目标是不是适合自己?我的策略是:选出3个目标,对3个目标依次进行攻击。挖掘时间:2周内

一个厂商,经过2周的摸索,大概就知道薄弱点如何,缺陷点在哪里。我会给我们2周时间进行摸索。大部分厂商都适用于2周定律。

2022年,在海外市场上总共提交了166个安全漏洞

有关漏洞挖掘的一些思考和总结

有效严重的p1漏洞提交高达124个。

有关漏洞挖掘的一些思考和总结

在bugcrwod上,荣获p1提交榜年度top20,bugcrowd总排行榜前100名的好成绩。

我想说,这个成绩是史无前例的,2023年,能不能突破我现在这个成绩,我很难给予答案。反者道之动,盛极必衰。

我想说现在还是比较焦虑的,在漏洞挖掘领域深耕多年,未来漏洞肯定越来越少,这是必然的。但是我们总得前行,关于未来的不确定,我们能做的就是过好当下。

结论:思想策略执行大过努力,思想建设大过技术。2023年,我的主题不变,try do it!! try才有可能,只有尝试才能无限可能。

漏洞挖掘一些心得体会:

年末,我还是画了一些脑图,这边也分享给大家,一些心得体会:

1.高赏金业务安全测试 适用于google/facebook等大厂:

有关漏洞挖掘的一些思考和总结

2.业务资产难度快速评估:

有关漏洞挖掘的一些思考和总结

3.攻击难度快速评估:

有关漏洞挖掘的一些思考和总结

总有人问我漏洞挖掘技巧,个人觉得真正的漏洞挖洞技巧始终是心法,心理上不能认输,漏洞挖掘是一门艺术:

1.耐心一点
2.认真一点
3.仔细一点
4.贵在坚持

聊聊漏洞挖掘中,常遇到的一些问题

国外有些业务安全做的真的很好。说下自己在挖国外遇到的一些奇葩情况:

1.日谷歌的时候,我发现谷歌的核心业务,大多数有做参数封装混淆,一般我们常见的js,css混淆,谷歌会对参数进行半混淆,对json body进行全局的encode。

极大的增大了漏洞挖掘的时间成本,比如说唯一标识符uid,uid参数会被混淆为a b c d等,在你尝试理解数据包参数的时候,带来了极大的困扰,相当考验耐心。

2.仍然是对请求参数做处理,使用第三方安全厂商封装了原请求,所有的请求被二次转发,他不是全参数加密,而是对请求数据包进行很大的封装混淆

3.session_state自刷新跳转问题,间隔几分钟,不管有没有点击页面,都会原页面进行新认证,生成新的session_state,原token失效,对自动化检测非常不友好

4.restful api大量使用graphql查询

5.大量的使用csp用来防范xss攻击

6.绝大多数站点隐藏了自身特征,看不出来具体的网站结构,甚至看不出来使用到的技术

7.使用欺骗高仿真蜜罐系统,混淆你,让你以为是漏洞返回,其实是一个蜜罐返回结果,存在欺骗性,非常容易被欺骗。要格外注意固定返回,以及脏数据问题。

8.数据防重放问题,使用时间戳等

## 对于未来的看法

web黑盒越来越吃力了。难度越来越大了,对渗透测试工程师极具挑战性。现在日站和过去日站不一样的地方在于,现在需要投入更多的时间,需要更多的耐心。

随着微服务,未来上云,传统安全漏洞,再渐渐消失了。挖一个少一个,传统的dba大多会被云dba取代,很多很多,规范上云是大部分企业的宿命。

服务saas化拎包入住,直接卖服务,也是以后的趋势。web安全需要转变,不断的学习了解新知识。

渗透,漏洞挖掘要想做的好,一定要站得足够高和广,绝不是简单的看看站那么简单,简单的安服,最终只会被取代。现在,此刻,你说你不知道微服务,网络拓扑,不懂网关这些是不行的。

作为一名合格的渗透测试工程师,或者漏洞挖掘er,至少要了解这些知识

有关漏洞挖掘的一些思考和总结

有关漏洞挖掘的一些思考和总结

不需要太精通,至少要了解,以应付未来多变的技术环境,毕竟我们还年轻,还得靠技术吃饭!

路在脚下,莫向外求:

初挖src,众测的朋友,很多人总想走捷径,总是问我有没有快速挖到漏洞的技巧,我想说有的,但是那些快速的技巧,只能让你挖一些小漏洞,很难挖到大漏洞。

关于漏洞挖掘技巧,我准备抽空单独写一篇文章出来。对于新手,我觉得更多的是激励他们坚持下去,坚持去做,坚持做,你坚持一个月就战胜了90%的敌人。

附上2张图共勉:

有关漏洞挖掘的一些思考和总结

有关漏洞挖掘的一些思考和总结

此为日常burpsuite Repeater栏目测试记录框。星光不问赶路人,时光不负有心人。2023年,大家再次起航,不论结果,只争朝夕。

原文:https://www.cnblogs.com/piaomiaohongchen/p/17015605.html

原文始发于微信公众号(迪哥讲事):有关漏洞挖掘的一些思考和总结

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年1月7日14:28:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  有关漏洞挖掘的一些思考和总结 http://cn-sec.com/archives/1498521.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: