1. 官方文档永远都是最好的一手资料,通常它包含原理,使用方法以久示例代码,对于攻击面分析非常有参考价值,而且如果自写fuzzer,甚至可能因此少写很多代码。有时候单纯把系统API过一遍都可以挖到一堆,即使是现在的windows与macOS/iOS系统,只要你愿意,依然可以挖到0day,如果运气好的话,一个API挖出10+CVE也是有可以的,因为我早已验证过!
2. Fuzzing三要素:目标、策略、样本。假设有人开源一款fuzzer或者新型方法论的paper,很多人的第一印象都会是:漏洞刷光了才发出来的吧。从发布者的角度来看,确实如此,但是从上述三要素来看,刚不一定。以afl刚开源为例,虽然很多开源库已被挖了不少,但后来被移植到很多地方,如android,还有内核,也有不错的产出;afl变异策略本身还是暴力为主,一些条件语句有时难进入,所以有人拿比较语句中常量值作为变异值插入,以增加代码路径;有人拿afl 去fuzz stagefright,使用相同的测试程序,但因样本不同,导致结果不一样。所以,fuzzer的效果主要还是依赖这三要素的。
3. 保持学习,但有时方法更重要。每个月都会一些安全工具或技术文档公开,以前我都会及时跟进学习,但很多只是被动学习,遗忘率太高了。下面一张图就很好的介绍了这一情况,但要求你老教授他人,显然是不现实,或者写作是一种更好的方式。学习也不在量多,关键还是在于主动思考与实践的投入时间的长短。就像大家都看project zero的buglist,有的人用来搞pr研究,有的人用来刷src,有人动手调试分析,甚至试着写fuzzer验证思路……
4. 专业与业余的差别有时只体现在细枝末节上。以前刚开始做渗透测试时,可能就是开网站,看见输入框时写句<script> alert(1)</script>测试下,还有踩点收集信息这种小事,很随意,自然难逃"随机挖洞"的命运。正是这些看似小事的东西,很多专业者都搞出了很自动化、工程化的系统出来,从子域收集,ip提取,字典定制化生成,新业务监控,威胁情报收集,漏洞扫描、告警,甚至自动生成报告,提交至zdi、hackerOne及各大SRC平台,实现技术套现……
5. 肉眼挖洞的能力是需要,但不能全部人工,否则产出相当有限,如果你想追求精品漏洞又有很多时间(不代表自动化就出不了精品),不嫌累的话,请随意!我挖到的CVE大多是在睡觉的时候挖的。
本文始发于微信公众号(漏洞战争):关于漏洞挖掘的一点想法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论