漏洞原理我都懂，为什么就这么难挖？

进入今天正题之前，我先说一下上一篇文章为什么拿下博彩后台不能帮朋友追回资金。

第一，他是输掉钱，不是赢了钱提不出来。

第二，游戏平台里的余额只不过是一个数字，我可以帮他账号余额改成100万，但他也只能自娱自乐。别说游戏平台了，就是我们公司采购项目都要经过层层审批流，涉及到资金一般都会有A、B角色相互review，这在信息安全领域叫做权限分离，防止流程中其中一个人搞鬼。提款的正常流程是你发起提款，资金小的话一级人员审批，打款专员进行打款，打款成功后将账户余额减掉。但现在化业务系统，对资金的进出是做了日志的，我给他后台直接余额改成100万，当人家游戏平台是傻子？

以前国外有这么一个案例，一个银行柜员滥用职权，每次都从不同客户的账户里转一毛钱出来，几年时间私吞了近百万。所以现在去银行里取钱，一般都要另外一个人review签字才能取。

好了，下面进入正题

最近在搞做web靶场开发的课程，因为我在推广培训文章中介绍过自己，在hackerone、漏洞盒子、wooyun、国内的一些SRC平台都提交过漏洞，其中还有蛮多致命和高危的漏洞。有粉丝就问我，为什么他们漏洞原理都懂，但就是挖不到漏洞，今天就讲讲我的思考吧。

第一个原因是：门槛

这里的门槛不是技术门槛，而是业务门槛。

比如互联网医疗的医生端业务，比如外卖平台商家端的业务和骑手业务，电商平台的卖家业务，打车平台的车主端业务。

试问一下，有多少人会因为挖漏洞去想办法注册一个医生账号？医生行医资格证到哪里去弄？有多少人会因为挖漏洞而去认证一个外卖商家账号？美团商家现在已经需要有营业执照了，还要缴纳保证金。又有多少人为了挖漏洞而去电商平台开一个店铺？电商平台很多，每个平台开店肯定都有门槛的。你会不会为了挖洞去注册一个车主端账户？首先你得有辆车吧。

还有我之前挖到一个云厂商的ci漏洞泄漏云平台gitlab管理员账号密码，也是因为我正好购买使用了这个云厂商的容器服务，你会专门为了挖洞花几千块去买个容器服务吗？

有些业务是有资金门槛，有些是有相关执照门槛。其实这一层门槛拦住了大多数的白帽子去测这些业务系统。

第二个原因：没有专注一个企业的业务去挖。

想要挖到洞，首先你得成为这个应用的忠实粉。应用的每个功能细节你都得摸清楚，而不是这个应用打一枪，那个应用打一枪，这样只是在浪费时间罢了。你要做到比产品经理还了解产品。现在的应用安全程度已经不是一个burp+awvs+xray联动就能挖到的时代了，想要挖到漏洞就得花足够多的时间在某几个应用上。另外，对一个企业的资产监控非常有必要，比如京东，昨天还是4600个域名，今天就变成4800多个域名了。

第三个原因：经验太少

这也是一个很重要的原因。比如某些系统没有对外解析，但是你本地host改了，就能解析并访问这个业务。比如fuzz的字段，老师傅经过多年积累，一个param字典就1MB，而你只有10KB。

其实挖src是个体力+脑力活，还需要带点运气。现在要么就是审核漏洞降级，要么审核不通过，要么就是已经有人已经提交过该漏洞了。

原文始发于微信公众号（信息安全笔记）：漏洞原理我都懂，为什么就这么难挖？