有关漏洞挖掘的一些思考和总结

有关漏洞挖掘的一些思考和总结

本文作者为缥缈红尘,也是笔者接触到的一个漏洞挖掘方面做的比较好的一个童鞋,这是他写的一个年度总结,里面很多内容写的比较实在,这里就转载一下里面的主要内容.

2022年对我个人来说，也是很魔幻的。年初，经历了上海长达2个月的疫情封控，当时也是大批老年人死亡去世，他们得不到有效的医疗治疗，每当中华民族每个人遇到生死存亡之际的时候，中国的医疗水平总是不能眷恋到每一个子民，总有人提前离我们远去。这次年末的放开也是一样，你医保有钱，子女们腰包里有钱，成车成车的往医院跑，仍然无法挽救一个个鲜活的生命，看着家里的老人，或者自己的至亲，在疾病中远去，从疾病中倒下，我们是痛苦的，经历者的内心是煎熬无力的，是绝望的。大部分的老百姓害怕的不是昂贵的是医疗费，而是等不到治疗。别让等待成为一种遗憾！

希望这次疫情中华民族可以走向胜利。可以增强，加大覆盖中国的医疗资源，提供提出高效惠民的医疗方案，尽最大全力为我们老年人，孩子们，提供最佳的解决方案。

一次随想，一次失败:

有时候闲聊的时候，总会迸发出很多想法。我记得那是2022年年初，那时我记得我每天晚上下班后，就在家打游戏玩，这让我觉得很不好。过去，上学那会，我放学后，总是会回去挖挖漏洞，学习学习。

现在就只有白天在公司学习学习，而下班回去，就很少学习了，这种感觉很糟糕。毕竟我还年轻，还是要靠技术吃饭的，技术是我绝对不能丢的。为了回到最初的感觉，我又回归漏洞挖掘了，再次尝试Src/众测之路。

和朋友也正好闲聊了下，想着闲着也是闲着，找点事做，我们尝试下挖下国外漏洞，一直挖的国内漏洞，对国内可以说非常熟悉了，我们转型挖下国外吧。

就这样一拍即合，2022年，一整年，已经挖国外整整一年了。

前期我参阅了h1上很多给予赏金的厂商，自认为个人漏洞挖掘能力还算不错，我选择了shopify这个厂商，选择的理由很简单:

1. 漏洞最少奖励500刀

2.以前挖阿里src比较多，对于电商类型网站，相对比较熟悉一些。

真的很难挖。shopify的业务，大多为店铺门户网站，功能点琐碎繁多，和朋友坚持挖了大半个月，期间朋友还请了软件测试工程师，帮忙熟悉梳理业务逻辑。期间提交了一些业务上的逻辑bug，认为是系统设计上的缺陷，不过提的那些bug都被安全审查员驳回了。晚上放弃了休息，坚持挖2个小时，得到这样的结果，还是很难受的。

对大哥，我总是觉得愧疚，毕竟我的朋友花了钱，和我一起做事情。最后这个事情无疾而终，他也没有说什么，感谢他的包容。但是我们还是坚持了下来，当初我坚持挖了半个多月，有很多原因。挖shopify的时候，即使没挖到漏洞，我也收获了很多。

1.熟悉了业务逻辑

2.学习了一些英语知识

3.了解到了海外在安全上使用的技术，了解了国外的技术栈

4.锻炼了心态，心性

这些对我而言，回首2022年一整年，这些都是宝贵的财富，他们使我坚韧不拔，使我变得强大。我想说人怎么看待失败，完全取决于你赋予失败什么意义。你对他的看法，赋予它的意义，决定了很多。

合作

和大哥经常沟通学习，受影响最大的是他对我说的，一个人想做大做强，你需要的是合作，是人和人之间互相帮助协作。就像互联网技术，技术之间存在关联性，理论上来说技术不是单一的存在，而是多个点的连续。1+1+1效果一定是>3的。

挖掘海外业务，想从海外淘金，是非常枯燥和困难的一件事情，我知道一个人很难坚持，长夜漫漫，最好有个伴一起，不孤单。

我出自芳华绝代安全团队，是芳华绝代的创始人之一，而我们团队另一个创始人，也是漏洞挖掘技术超绝，他有一次群里提了一嘴挖国外，我就直接找他合作了，我觉得这是一次机会。我正式确认了合作伙伴。

小试牛刀

我又重新选了一个h1的项目,项目地址 https://hackerone.com/semrush?type=team 一个在线可视化管理平台

当初挖他的想法很简单 1.报告公开比较多 2.功能点多而杂 3.可以注册，方便测试功能点。

这个厂商，也是非常打击自信心的一个项目，和shopify一样难挖。两个人坚持挖了一个月，共提交7份漏洞报告，有效报告为四个。总计挖了250刀！

可想而知，想在海外市场，赚老外的钱，是多么的困难。

这次的事情，虽然只收获了250刀，但是给我们带来极大的自信。即使是强如Semrush，也能挖出漏洞来，找出缺陷。

收益小不可怕，我们害怕长期时间的投入挖掘，得不到一个结果。

后面就是我不断的思考，利用我们的优势，选择适合我们的目标，指定方案。

那段时间我没事做，看了矛盾论，看了毛选。那时候我的热情很大，对于海外漏洞挖掘，是当作事业来做的，每晚开会复盘，写文章，写笔记。

这是部分记录:

展翅飞翔

很多时候，我们觉得做一件事很困难，大概率是因为思想策略出了问题，一旦找到属于自己熟悉的领域，迅速如鱼得水！

后面我的决策很简单，改变方法，改变策略。很多事情，其实心里没有结果，但是得尝试下，我们还年轻，我们有时间投入。

不停的尝试，尝试选择挖掘n个厂商，终于选择了适合我们的厂商

如何尝试判断一个目标是不是适合自己？我的策略是:选出3个目标，对3个目标依次进行攻击。挖掘时间:2周内

一个厂商，经过2周的摸索，大概就知道薄弱点如何，缺陷点在哪里。我会给我们2周时间进行摸索。大部分厂商都适用于2周定律。

2022年，在海外市场上总共提交了166个安全漏洞

有效严重的p1漏洞提交高达124个。

在bugcrwod上，荣获p1提交榜年度top20，bugcrowd总排行榜前100名的好成绩。

我想说，这个成绩是史无前例的，2023年，能不能突破我现在这个成绩，我很难给予答案。反者道之动，盛极必衰。

我想说现在还是比较焦虑的，在漏洞挖掘领域深耕多年，未来漏洞肯定越来越少，这是必然的。但是我们总得前行，关于未来的不确定，我们能做的就是过好当下。

结论:思想策略执行大过努力，思想建设大过技术。2023年，我的主题不变，try do it!! try才有可能，只有尝试才能无限可能。

漏洞挖掘一些心得体会:

年末，我还是画了一些脑图,这边也分享给大家，一些心得体会:

1.高赏金业务安全测试 适用于google/facebook等大厂:

2.业务资产难度快速评估:

3.攻击难度快速评估:

总有人问我漏洞挖掘技巧，个人觉得真正的漏洞挖洞技巧始终是心法，心理上不能认输，漏洞挖掘是一门艺术:

1.耐心一点
2.认真一点
3.仔细一点
4.贵在坚持

聊聊漏洞挖掘中，常遇到的一些问题

国外有些业务安全做的真的很好。说下自己在挖国外遇到的一些奇葩情况:

1.日谷歌的时候，我发现谷歌的核心业务，大多数有做参数封装混淆，一般我们常见的js，css混淆，谷歌会对参数进行半混淆，对json body进行全局的encode。

极大的增大了漏洞挖掘的时间成本，比如说唯一标识符uid，uid参数会被混淆为a b c d等，在你尝试理解数据包参数的时候，带来了极大的困扰，相当考验耐心。

2.仍然是对请求参数做处理，使用第三方安全厂商封装了原请求，所有的请求被二次转发，他不是全参数加密，而是对请求数据包进行很大的封装混淆

3.session_state自刷新跳转问题，间隔几分钟，不管有没有点击页面，都会原页面进行新认证，生成新的session_state，原token失效，对自动化检测非常不友好

4.restful api大量使用graphql查询

5.大量的使用csp用来防范xss攻击

6.绝大多数站点隐藏了自身特征，看不出来具体的网站结构，甚至看不出来使用到的技术

7.使用欺骗高仿真蜜罐系统，混淆你，让你以为是漏洞返回，其实是一个蜜罐返回结果，存在欺骗性，非常容易被欺骗。要格外注意固定返回，以及脏数据问题。

8.数据防重放问题，使用时间戳等

## 对于未来的看法

web黑盒越来越吃力了。难度越来越大了，对渗透测试工程师极具挑战性。现在日站和过去日站不一样的地方在于，现在需要投入更多的时间，需要更多的耐心。

随着微服务，未来上云，传统安全漏洞，再渐渐消失了。挖一个少一个，传统的dba大多会被云dba取代，很多很多，规范上云是大部分企业的宿命。

服务saas化拎包入住，直接卖服务，也是以后的趋势。web安全需要转变，不断的学习了解新知识。

渗透，漏洞挖掘要想做的好，一定要站得足够高和广，绝不是简单的看看站那么简单，简单的安服，最终只会被取代。现在，此刻，你说你不知道微服务，网络拓扑，不懂网关这些是不行的。

作为一名合格的渗透测试工程师，或者漏洞挖掘er，至少要了解这些知识

不需要太精通，至少要了解，以应付未来多变的技术环境，毕竟我们还年轻，还得靠技术吃饭！

路在脚下，莫向外求:

初挖src，众测的朋友，很多人总想走捷径，总是问我有没有快速挖到漏洞的技巧，我想说有的，但是那些快速的技巧，只能让你挖一些小漏洞，很难挖到大漏洞。

关于漏洞挖掘技巧，我准备抽空单独写一篇文章出来。对于新手，我觉得更多的是激励他们坚持下去，坚持去做，坚持做，你坚持一个月就战胜了90%的敌人。

附上2张图共勉:

此为日常burpsuite Repeater栏目测试记录框。星光不问赶路人,时光不负有心人。2023年，大家再次起航，不论结果，只争朝夕。

原文:https://www.cnblogs.com/piaomiaohongchen/p/17015605.html

原文始发于微信公众号（迪哥讲事）：有关漏洞挖掘的一些思考和总结