厉害了丨白帽子靠挖漏洞拿了137万“年终奖”
新闻资讯
正值年终岁末,各位职场人士最关心的就是年终奖了,听说有人拿了137万的“年终奖”,来了解一下~~~
360冰刃实验室研究员洪祯皓发现了一个Hyper-V的漏洞,由于漏洞危险级别高,影响范围广,微软在确认漏洞细节后第一时间确认奖金并致谢漏洞发现者。
奖金总额高达20万美元约合人民币137万,可谓是微软送给中国白帽黑客一笔丰厚的“年终奖”了,这也是微软史上送出的最高一笔漏洞挖掘奖励。
技术大佬们,奖金这么丰厚,是不是已经按奈不住要去挖漏洞了,多挖几个高危漏洞,你就是下一个人生赢家!初级挖洞菜鸟也不要气馁,i春秋今天给大家分享漏洞挖掘的相关内容,帮助大家快速提升挖洞技能,对于新手小白的学习非常有帮助,希望大家好好阅读。本文在3000字左右,阅读时间约5分钟。
漏洞挖掘是安全圈的核心内容之一,随着各大厂商安全意识的增强,以及各类waf的出现,一些像SQL注入,文件上传,命令执行等漏洞并不好挖掘。尤其对于刚刚学完基础并开始着手漏洞挖掘的小白来说,拿到手后就显得更加迷茫。
这篇文章是一个漏洞挖掘思路的总结,适合给刚入门的小白指路,希望大家多多支持,也欢迎小伙伴们来分享补充你们的漏洞案例。
常见漏洞清单
如果你是一个刚学完基础,且没有参加各种培训,完全自学的小白。那么你的漏洞清单可能是这样的:
-
暴力破解漏洞
-
SQL注入漏洞
-
命令执行漏洞
-
XSS漏洞(跨站脚本)
-
csrf漏洞(跨站伪造请求)
-
xxe漏洞
-
文件上传漏洞
-
文件包含漏洞
-
各cms的公开漏洞
如果你有幸看到一个大佬的漏洞清单,那么有可能除了上面那些,还多了下面这几项:
-
逻辑漏洞
-
ssrf漏洞
-
信息泄露
-
js文件可能存在的未授权访问
-
组合漏洞
……
然而这些也只是一部分,欢迎大佬们前来补充更多漏洞清单。
漏洞类型详解
01
逻辑漏洞
逻辑漏洞是一个经久不衰的话题,目前没有一个扫描器敢说自己能扫到逻辑漏洞,或许有的厂家敢说自己没有一个SQL注入,但是没人敢说自己没有逻辑漏洞(我想也没有厂家敢说自己没有SQL注入吧)。而且,由于现在waf和防火墙的逐渐完善,SQL注入,上传等漏洞,也越来越难以查找和利用,而逻辑漏洞则不存在这种问题。
何为逻辑漏洞,就是开发者在开发过程中,由于代码逻辑不严,而造成的一系列可以被攻击者加以恶意利用的漏洞,逻辑漏洞也是这一类漏洞的总称。
最常见的逻辑漏洞可以分为以下类型:
-
验证码爆破
-
支付漏洞
-
注册/忘记密码处逻辑漏洞
-
越权
……
举个最为常见的例子:以低价购买任意商品的支付漏洞,或者找回密码流程控制不严格,导致的可以修改任意用户的登陆密码,还包括越权,越权查看他人订单,越权查看他人个人信息等等。
当然这只是一部分,具体漏洞的原理以及介绍大家可以去自行搜索关键字,有很多大佬的文章写得比较好。
02
信息泄露
信息泄露也分好多种,如:
-
源码泄露
-
用户信息泄露
-
员工信息泄露
……
对于源码泄露,大家可以去github上找,很多程序员会把源码开放在github上,甚至有的人连用户名和密码都不改,数据库连接密码直接存在源码中。对于员工信息泄露,可以在收集信息的时候收集账号,然后放在社工库跑跑,或者记录账号用来爆破。
03
组合漏洞
组合漏洞是一个可以把低危漏洞变成高危漏洞的神奇东西。比如你找到一个xss漏洞和一个csrf漏洞,如果两个漏洞单独提交,或许是两个低危,又或许是两个忽略。但是如果你把xss和csrf组合起来就有可能变成一个高危漏洞。
说个小技巧,如果你想要详细的漏洞列表,可以去多收集几家src的漏洞说明手册,然后去重,就是一份完美的漏洞列表。
漏洞挖掘技巧
如何快速提高挖掘漏洞能力?在提升挖掘漏洞能力时应该养成哪些好的习惯?让我们一起往下看:
细心
细心一定要放在第一位,因为细心真的非常重要,我有幸请教过很多大佬成功的秘籍,他们告诉我的第一个词语就是细心,正所谓心细则挖天下。很多漏洞都是需要细心才可以发现,不放过数据包中的任何一个参数,不放过网站的任意一个点,我曾问过团队的小石师傅,如何挖掘那些很多人都挖过的src,这么多人都挖过,一些功能点我还要在测一遍吗?
小石师傅并没有给我直接回答,而是讲了他一个漏洞的挖掘经历,那是挖美团的时候,小石师傅直接主站开始挖,并且在个人资料一个很明显的地方,挖到了一个储存xss的高危漏洞。
所以,在我们进行漏洞挖掘的时候,不要放弃任何一个可能存在漏洞的地方,每个人都有不同的挖掘方式,网站这么大,总会有几个漏测的地方,并且一个漏洞修复了,谁敢保证,修复完了,就不能再修一个漏洞出来呢。
耐心
耐心同细心一样,可以说是一对cp。如果你本身就足够细心,那么我想你的耐心也不会差。如果说细心是你漏洞挖掘的利剑,那么耐心就是你的磨刀石,很多时候,碰到一个破站盯几天才能挖到一个漏洞,你坚持下来了就是胜利者。
有人说挖洞,也是个运气活,运气好了随随便便就是几个高危,运气不好,几天也挖不到一个。虽然有一定的道理,但是当你的能力足够强,有了自己的套路,想挖漏洞还是轻松加愉快的。
会看、会记
会看,会记就是要多看漏洞详情,多看技术文章,还有网上很多人分享的案例。看完就要记,才能做到学以致用。
如果你面对一个厂商,有无从下手的感觉,就去看漏洞详情,一个一个看,然后把漏洞出现的位置,以及使用的一些技巧记下来,成为属于自己的漏洞挖掘手册,这也是我最近在做的一个事情。还有一些好的文章,好的技巧,或许你暂时还用不到,但是你要学会记,总有用到的一天。
懂收集
大佬说过,漏洞挖掘说白了就是一个fuzz的过程,而fuzz最关键的就是一本高效的字典,没错我们要学会收集字典,想公开的字典有fuzzdb,是一个非常好的fuzz字典合集,当然我们在收集他人字典的同时也要自己收集字典,曾经看到一个大佬,搜集了github大量的开发项目的路径,然后组成字典。
我也不要求小白可以写程序然后自动收集字典,但是,我们在平时的漏洞挖掘过程中,遇到的一些东西还是要多去收集一下,逐步慢慢的形成自己的一本专用字典,绝对可以提高你的漏洞挖掘效率。当你有一本自己收集的字典时,相信你也成为一名大佬了。
勤动手
当你看过大量漏洞,记了大量笔记,这个时候我相信你最需要的,就是实战。实战是可以把所学所看融会贯通的最快方法,没有之一,只有实战可以锻炼自己的挖洞能力和效率。看到新的漏洞多去搭建环境复现,这也是对能力的一种提升。
爱学习
学习,学无止境,知识面有多广,决定了你可以挖多少漏洞,多学习,至于学什么呢,学js,学代码审计,学开发,学json等,有的时候真的感觉,你要成为一个开发人员,了解详细的信息传输和交换原理,才可以挖到更加深入的漏洞。如果有一天你感觉挖不到漏洞了,不如放下手头的一切先去学习吧。