漏洞之我見(嫌長看星號段落)
5 人贊了文章
磕磕碰碰接觸信息安全也算是有兩年多了,從當初一個連html都看不懂得計算機小白,到如今算是一個二線遊戲廠商得安全工程師,也有兩年多了。深有感觸得是變化得多,其中也算是不是深入得挖過幾家src得漏洞,分數也還算說的過去。突然有些關於漏洞得感慨,這篇只講哲學不講技術。
最還是接觸安全得時候只知道注入,那麼只挖sql注入,而這些被人挖爛得漏洞,注入sql注入、xss、上傳、等等、加之waf得流行,這類漏洞還需要繞過waf,所以很少見這些漏洞了。這就是傳說中的web2.0時代,這裡之所以不提csrf其實不是覺得csrf不算漏洞只是這種漏洞評級會存在一些問題,這裡稍後會說到
那麼在這些漏洞很難發現得時代,於是乎挖洞得人就留存一句話名句,70%都是信息收集,因為一旦你收集到了別人沒發現得域名,很有可能就會存在很多問題,於是乎,各種各樣得信息收集工具,已知的、未知的、公開的字典、未公開的字典、成為了大家研究的對象、但是一旦一個技術被眾人研究透了、那麼每個人的起跑線也就想同了、總有一天會走到盡頭的、這段信息收集輝煌的時代也可以算作為web2.1的時代。那麼當大家信息收集的都是差不多的時候,又洗禮了一遍常見的漏洞,那麼這個事後漏洞又變成難以發現了,於是乎便到了一個web2.2的時代、這個時代的漏洞往往是waf檢測不到,掃描器無法掃描的安全問題、於是像常見的邏輯類型漏洞、jsonp的安全問題、oauth的認證問題、就開始變得輝煌起來於是大家專註於挖掘這類型的漏洞,等到接近web2.2的尾聲的時候本應是大家研究新的漏洞定義方式的時候,國內的偉大巨人轟然倒下,安全圈從一個開放的大社區,變成了每個小組各個為戰的社區,新的漏洞定義方式沒人再公開了,於是變得研究漏洞定義方式的人可以用自己的方法更加強大,而獲取內容的人變得無洞可挖,只能還是用web2.2時代的方式去嘗試在新的web時代尋求一線生機,而在這個不開放的時代,一部分人轉去國外的社區找到了更廣闊的漏洞定義,一部分人自己研究漏洞定義,而在後面這部分人在我的眼中又分為了兩種人
一種是專心研究漏洞的人,一種是活在自己幻想中的人。其實今天是想吐槽下活在幻想中的人的(感覺寫這個要被噴,不過不怕,在乎別人的言論幹嘛:安全本就是孤獨的)
在這裡專心研究漏洞的人會變成傳說中的大牛,而在自己幻想中的人會變成 「分奴」 ,落了一類型的人,連分奴都不如的娛樂圈。。。。。。這種人常常會幻想出一些不算漏洞的漏洞,甚至為了評級分數,會去做鍵盤俠,會去做一些出格的事情(如果是這樣我覺得是真沒意思還不如去做灰產呢。。。。)
其實這兩年的經歷也算是甲方乙方都待過,對漏洞的定義也是不同的(其中乙方不是那種被吐槽掃描器工程師的乙方,而是那種真正滲透測試的乙方,雖然自己做的很差)
而這甲方乙方在一些高危以上的漏洞或許有一些內容交叉的地方,但是在大部分漏洞定義的地方是大相徑庭的,乙方更看重獲取目標的核心數據,這裡諸如反射型xss,jsonp劫持、邏輯漏洞等等,一些高危漏洞可能被忽視掉,但是在攻擊手段上可以使用一些諸如社會工程學所延申的釣魚攻擊、欺騙登方法,而在甲方的評級就截然不同了,除了乙方看重的內容,還看重用戶本身的數據,於是乎衍生了一系列評級的方法,衍生了兩種安全定義,威脅情報和常規漏洞。
到了這裡其實忘了接下來要說啥了。。。也算差不多了 該吐槽吐槽了。
*****有部分人對漏洞評級感到不滿,做了鍵盤俠,這其中有真真正正的研究漏洞的人,還有一部分分奴也在其中,這些人我要罵一句 「就是傻逼」(我不是一個文明人,在砍省長大的我已經從一個說話句句背著對方親人的人變成了一個講文明的人了) 什麼時候給你們貫的,之前前輩們挖洞給幾個幣子都開心的不得了,上了一個首頁,分數不打折就是榮譽的時候他們說什麼了?說實話給你錢給你分是情義,不給你分也沒什麼毛病,現在變得提交這些漏洞的人變成大爺了?(這其中有些誤傷,不過恕我直言大部分都是垃圾),他們src的人不敢罵,我是敢罵的。不服的人可以找我對噴,語音我能罵哭你(這塊限制地區,沒有地域黑),也可以來一次身體接觸我也是不怕的。嗯?某個特種兵,某個客座教授,別吹牛逼了,你那點水平誰不知道?*****
那麼存在漏洞是為什麼呢,我認為有以下幾點1開發意識不足 人總有疏漏 繞過安全迭代更新
2安全測試太少 每人測試重點不同會有遺漏
3語言框架本身就存在問題 畢竟一開始安全不是那麼重視差不多這些 嗯最後要說幾個重點
那些噴審核的,你們噴就噴了,噴運營妹子的,算個男人么?不對,怎麼能和男人比呢,廢物!
推薦閱讀: