如何判断API接口类型及漏洞分类管理方法？|

‍‍

0x1本周话题
话题一：请教大佬，api接口怎么判断是tcp的还是http的？问开发，说都是tcp，最后可能用的http。
A1：可以口语化一点，如果问他是不是http协议他回答有误，那就问他本次api接口可否用postman发包？可以则是http。
A2：TCP应该和UDP对应起来说吧，传输层，现在的API接口协议都是用HTTP方式，应用层协议，HTTP访问都有返回值，所以都是基于TCP。HTTP通常有建立多少个连接的说法，这个就是一对一，UDP是不用管这么多的，无连接。
A3：这个意思是有返回值是tcp，不能说明是http吧。http是包含tcp的，这个没问题，一个是7层，一个是4层。
Q：使用http协议的api接口安全如何做？因为不是面向公众服务的，都是点对点，有必要做渗透么。
A4：可以把它理解为无界面的网页请求。平时网页请求都需要登录校验，权限校验对吧。所以api接口一般都会有未授权访问漏洞或者越权漏洞。渗透人员可以幻想出一个web界面来渗透，那就跟平时的渗透方式一模一样了。对于点对点这种，我一般会回复：如果开发文档泄露了呢？那是不是任何人都可以根据文档点对点构造http请求进行未授权操作。
A5：如果想全面测试，可以拿到API文档针对每个接口参数进行测试。通过http地址调用的api应该就是http协议吧。非常常见的是，swagger页面泄露了，那就谁都能看到接口，接口API的重点在鉴权和数据返回，还是都要摸排一遍的。
A6：点对点对方不被拿下，有接口文档也没用吧。不过在"大型安全演习"中，对方被拿下了，你就很危险了。对互联网暴露的服务比较关注，对点对点的不是很重视。
A7：策略都是明细白名单，页面泄露也访问不了吧。一般api接口都不需要鉴权吧。
A8：https://cloud.tencent.com/developer/article/2160217。除非走专线才不需要鉴权。
A9：往往开发说点对点，实际上服务器区内任意设备都可以访问api服务器，甚至办公区也可以访问。走专线这个可以有，最佳实践。相对于公网，专线可控还是很强的，至少将来除了问题，溯源的时候很快。
A10：现在供应链攻击玩得怎么六，专线其实也就这样，就是增加成本。而且刚才没说的例外，对方强势单位，你让人改，怎么沟通都说改不了，那还是得接，那后续就看运气了。
A11：如果对方网络内网和互联网是通的，管控比较松。接专线和互联网我咋感觉区别不是特别大。
Q：“内网和互联网是通的”是指啥？
A12：就是，你不知道专线接入的对方会不会在后面直接把互联网映射进来。直接把专线咔嚓就OK了。我们是发现过这个情况的，机构跟我们是专线对接，但是他们把我们的应用直接转发到他们互联网出口。
A13：理解了。那不是每家都这么搞，至少也符合暴露面收紧的原则。那就这种情况，等同互联网，还不加鉴权么？
A14：响应时间专线的确快，安全性来说，得指望对方单位，有些三方机构听名字都是中小私企，这样的机构专线和互联网区别不大。
A15：哦，我想到一个很经典的案例，就是前段时间有个公司的一个API接口直接可以查身份证信息，不就是典型的把专网应用接口转互联网。
Q：互联网也能访问这个接口吗？
A16：三方公司进行二次封装，然后放互联网上。
话题二：背景：发现的任何一个新漏洞，都应该能找到它的归属类别。请教：维度很多，大家用的是哪种分类方法？
A1：如果就漏洞谈漏洞，分类一般都是按照漏洞产生原因分类，根因分类方法。
A2：按照自己业务需求划分呗。在治理的时候 根据漏洞弄。危害，类别（服务端 前段 pc二进制 安卓等）
A3：固有风险等级我们基本参考gbt 30279。然后处置方法上再根据内外网等一些方面去划分。
A4：有国标肯定优先用国标，但提权内核漏洞等系统层的，弱口令等非代码问题，就套不进去，然后我看了CWE，归因分类得比较好，硬件、ddos也都照顾到了，但就是和主流的“注入”等行为分类方法需要翻译。
A5：可以套30279啊，比如本地一键提权，那访问路径是本地，触发要求是低，权限要求是低，等等，然后按照分值就有最后综合分级了。
Q：漏洞分类算什么呢？
A6：30279的分类也是按照归因，弱口令就是它列的“授权问题”。内核漏洞无非各种溢出，但不需要自己分类，因为系统开发者已经分类了啊，如果需要做个分类统计，从我们使用者来看就是“环境问题”。
A7：摒弃RCE、提权、容器溢出、数据泄漏这些形形色色的“结果”，全部回归到“原因”。RCE的本质是它网络访问、无权限、无交互、默认，导致的极高评分，而不是因为能执行代码
A8：我理解大概也是这样。钱总说的rce这是打分里的一部分，“被利用性”，rce的“影响程度”也是高，所以结合起来最后有个很高的级别。
A9：能实现rce的方式很多，不过也得分未授权和授权之后的吧。实战中大家最想实现的是未授权，这是从效果来看。可以是直接远程命令执行，绕过认证+远程命令执行，后者漏洞组合利用方式很多。
A10：是的。所以RCE不是一个漏洞分类，而是效果分类，跟它并列的不是“授权不当”“逻辑错误”，而是“数据泄露”“文件篡改”“资源放大”。以这个文章为例，每行其实是说“文件上传”“文件包含”等漏洞原因，加是否需要特定条件等环境因素，导致RCE进而被完全控制的效果。
A11：从实战效果看，效果分类的关注度会比根因高，根因参照cwe就比较好。
A12：效果分类，初步想就是安全三性，即数据泄漏，篡改控制，破坏。但似乎又有点太笼统了。