对渗透新人成长的建议
- 挖洞一定要去实战:
不能只在漏洞环境复现漏洞,实战和环境是不一样的。
实战环境的选择:
漏洞盒子:新人建议首先去漏洞和提挖洞,漏洞盒子接收大多互联网漏洞,无论该单位是否在盒子注册过,漏洞审核相对容易通过。
补天:分为公益 SRC 和专属 SRC,补天的审核较为严格,且通常只接收在补天注册的厂商的漏洞和大中型厂商漏洞,其他小站漏洞通常审核不通过。在熟悉漏洞盒子挖洞后,建议去补天挖洞,先挖公益 SRC,再挖专属 SRC(给现金奖励)。
各大互联网 SRC,能够在补天专属 SRC 挖洞,基本可以去各个互联网 SRC 挖洞了,无论大小厂的 SRC 都可以尝试。
- 掌握利用简单、危害高的逻辑漏洞:
常见的简单高危漏洞,提交漏洞要制造出高伤害:
竞争条件漏洞(并发抽奖、领取、提现等)。
水平越权:当一个公司用户量越大,越权造成的用户数据泄露越多,对甲方的危害极大。注意提交漏洞时,可以遍历一下泄露用户数量的上线,有时候一个简单的越权,泄露几百万用户信息,但切不可拖数据(犯罪),遍历统计上限和样本即可。
各种刷量的逻辑漏洞:例如电商的抢优惠券,社区的刷点赞、人气,视频的刷播放量等。
测试逻辑漏洞时,注意 Response 返回包中的信息,有些 Response 返回包的参数被篡改后,会进入下一步逻辑流程,并使用被篡改的参数在下一步流程提交。
- 学习前端跨域漏洞:Jsonp 劫持、CORS、CSP 等
面试过不少年轻白帽子,不熟悉前端跨域漏洞,在不少互联网公司 Jsonp 劫持是常见的漏洞,建议大家要学会前端漏洞挖掘和基本知识。
- 提交漏洞要做出高危害
几个栗子:
SSRF:内网应用越多,危害越大。提交漏洞不要只扫描一下内网访问多个系统就提交了,建议拿下一个内网应用的权限,内网应用通常漏洞多,弱口令多,造成高危害后提交。
水平越权:上面说过了,遍历出影响的用户量,如造成用户数据泄露或篡改,遍历泄露的用户数据量、可篡改量。
XSS:能打到几个账号的 Cookie 并登录最好,或接收到后台的 cookie 登录后台,将漏洞尽可能升级其影响范围。
其他漏洞类似,尽可能做出高危害和对业务的影响。
要多挖 APP 漏洞,移动互联网时代,很多互联网公司 90% 以上的流量在 APP 端。
- 渗透人员要学会代码层如果修复漏洞,尽量细化到用哪个函数(会攻击也会防御)
例如:指导研发修复要细化到修复漏洞的函数和示例代码,后端用函数,前端过滤为了减少后端服务器的计算压力。
代码层如何修复 xss 漏洞:后端:在 html 输出用哪个函数过滤,在 JavaScript 中输出,用哪个函数过滤等;前端对输入做哪些过滤。
代码层如何修复 SQL 注入漏洞:后端 PHP 代码用哪个函数,JAVA 代码怎么做。前端对用户输入做哪些过滤。
水平越权的修复:校验用户 Session,不能只校验 uid 等等。
其他漏洞修复类似,不要只提一句话修复文字,最好能够细化到代码层的实现,或者逻辑的设计,针对逻辑漏洞,说明逻辑,或者能画出逻辑流程图和文字更好,方便产品经理和开发理解。
转自公众号信安之路: https://mp.weixin.qq.com/s/1Z_5znAajRzHrDGP60KEtQ