整理了采访内容如下:
个人介绍内容:
被采访人为@Rhynorater,名为Justin Gardner,是一名全职漏洞赏金猎人,安全方向为网络应用攻击,源代码审计,逆向分析0day,硬件/物联网设备,还有各种有趣的新的安全研究内容。github主页为https://rhynorater.github.io/,
履历为:HackerOne 历史漏洞总排行榜前 35 名,发现了超过 450 个漏洞 。之前曾在 SynerComm 新担任渗透测试人员。拿到的证书和奖项包括有:
证书和奖项
-
-
-
-
-
-
-
“最佳团队合作”DISTURBANCE H1-2006 2020
-
-
“进攻安全认证专家(OSCP)”2018 年 6 月 27 日
演讲和出版
-
“KASM - 网络应用渗透测试故事” - DEFCON 2022
-
“利用 CVE-2020-13379 绘制内网拓扑” - HacktivityCon 2020
-
渗透测试技巧:
在攻击 Web 应用时,了解应用与用户如何交互至关重要。一般不会直接进行漏洞发现,而是花时间像普通用户一样尝试正常使用该应用。在深入研究请求并查找漏洞之前,要尽量探索所有特性和功能。这个阶段通常持续不到一个小时,具体取决于应用的大小。有详细文档也会抽出时间来读下文档。
其间有灵感和想法也会用语音备忘录先记录下来,在测试应用的初始阶段,我会优先查找所有涉及ID的请求中和对应响应中反馈的数据。这些可能是可利用的潜在高危漏洞,例如 IDOR 或 JavaScript reflected。渗透测试中经验大于一切,初期一定要慢慢来,不要害怕失败,要想这个应用中有价值的数据有哪些,在哪些,核心功能有哪些,影响核心的边缘功能有哪些,如开发api等。
例如XSS的发现,重要的是通过检查 URL 的解析方式并检查可以被操纵的token或签名元素来寻找潜在区域。此外,值得研究任何 XML 解析或与 SDK 或其他实体的交互。如果网站依赖于单独的网站来实现某些功能,则两者之间可能存在身份验证转换,这可能是潜在的漏洞。
js分析,一般来说就是访问加载出所有js,搜索其中涉及的可能的利用点和敏感信息,url,个人信息,token,命令等等。如果找到利用浏览器加断点测试。
自动化扫描工具也不能少,被动扫描, 被动DNS 源数据、TLS 证书分析、暴力破解、子域接管和漏洞扫描等。还有做好更新监控,比如JS解析后有无新增,做好告警。
如果是参与众测项目,建议组队,做好明确分工,才能提高效率和优先发现漏洞的优势。
多看其他人的漏洞报告和思路,我也有发表过一篇从0-100K进度的文章,在一年内赚到10万美元。
常用工具:
代理工具主要使用Burpsuite,有丰富的扩展功能,常用扩展包括了paramminer(自动化检测Web应用程序中的隐藏参数的插件)、copy-as Python requests、request minimizer(一键发送多个请求包,分析需要哪些cookie和头才能拿到相同的响应包)和 AutoRepeater(需要大量身份证应用,允许通过自动替换 cookie 和 CSRF 令牌来进行授权测试)
原文始发于微信公众号(军机故阁):全职挖漏洞达人采访整理
评论