从今年4月开始已经大大小小参加了不少HW,某耕、某运会、某省HVV、国家HVV.....角色一直在持续不断的变化,红队、蓝队、裁判,攻击、防守、研判、分析......其中也混到了最佳攻击手、最佳防守等等。本来国护结束能好好休息休息,无奈没人又迫于支持护网工作。最近某地市级HVV又开始了,本人有幸又一次参与裁判角色,裁判长,聊一下体验和感受。大家也评价一下我的工作做的到位不到位。
留言区等你们的评价,兄弟们。
1►
工作介绍
周期:5天
参演单位:GOV、医疗、交通等
攻击队水平:等保测评公司居多,专业安全公司只有启明,水平无法判断
防守方水平:无法判断,只能说不好说
评分规则:旧规则
2►
攻击队
1、可能是地市级HVV参演的单位中多数是等保测评公司,无专业的安全公司。对攻防演练理解比较浅显提交的报告中并无体现对漏洞的深度利用。举例,某攻击队成员提交一份报告,报告中有两个漏洞,一个弱口令得分100,一个任意文件读取漏洞payload(.../etc/passwd)然后没了。任意文件读取漏洞我没给分,攻击队员跟我五次三番交涉说为啥这些都.../etc/passwd,还不给分。然后我给他的回复是“该漏洞并无拿到有用权限和数据不予给分,请继续深度利用“,等过了两小时他又重新交了报告,我看报告中他读取到了内网数据库账号密码,但无法登录数据库进行验证截图,我继续不予给分,攻击队员又跟我说他们费了这么多时间也搞到数据库账号密码为什么不给数据库的分。当时我是一整个大无语,无法给他答复。
可能他们的思维还在SRC上面,跟普通渗透、挖洞一个思路。到这里我其实想给他说说,你先搞清楚渗透测试和红蓝对抗的本质区别。
2、攻击队成员提交的报告中打的是下属单位,但下属单位与靶标单位并无任何网络通信方面的联系,不予给分。
3、攻击队提交的报告中无资产证明,无法证明该资产是否属于靶标相关资产。无备案查询、网站标题任何相关的证明截图,不予给分。
4、攻击队成员复用往年报告内容,浑水摸鱼,我也睁一只眼闭一只眼,酌情给分。
3►
防守方
1、提交的防守报告中,发现了攻击事件并对攻击事件进行了处置,但未进行溯源,酌情给分。其实报告中的攻击事件并不是真实攻击,是内网到内网的攻击,很明显就是正常业务触发的告警,迫于他们的积极态度我直接加5分。我真是大好人,呜呜
2、提交了溯源报告,报告中的攻击者画像是这种,我也给分了5分。然后我给的评价是溯源报告中请务必体现攻击者画像包括攻击者信息(姓名、邮箱、手机号、身份证、工作单位等)。
4►
评价
看到这里,大伙估计对攻击队和防守方的水平大概是什么已经知晓了。就这些了,我要是在多说估计要挨骂了。还有下次一定不会干地市级HVV裁判的工作了,容易挨叼
原文始发于微信公众号(李白你好):聊一聊最近地市级HW当裁判的经历
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论