guimaizi’s blog

从前


title: 再谈src挖洞? url: 440.html id: 440 comments: false categories:

  • 安全/代码 date: 2019-04-15 22:53:31 tags:

a

挖了有四五个月的漏洞了,有感而发,不不不、是硬怼了四五个月,总结了些技巧和经验,以前也有写过,这篇是优化下思路。

挖洞流程:

v1.0:看见业务就去干
v2.0:目标资产收集-硬干
v3.0:目标资产收集-资产分析-场景化漏洞测试(软干)

多种挖洞模式:

硬怼模式:

乱怼、硬怼、无规则的怼、碰见参数就去xss sql rce,看见规律id之类就越权、收集一大堆目标(域名、ip)开怼、整天怼。

佛系模式:

跟着业务活动玩、有时乱点下捡漏洞,比如有人的玩云主机、云数据库顺手捡几个高危、严重,还有人随意逛网页、或者电脑手机弹个tips,然后跟着上单引号就捡xss sql什么鬼的。 这两个模式经验值刷满,渡劫成功后,开始资深模式。

资深模式:

因有大量的编程、代码审计、硬怼经验,视场景化挖掘漏洞(挖掘机技术哪家强…宇宙无敌量子注入轮是最强)。 你敢信某些邮箱不到半个月被人各种骚姿势正文弹框、弹了二三十次,这个姿势还没修那个骚姿势又来?wtf?然后正主还淡然奇谈说都是运气?哈哈哈,为什么?因为在一个场景化业务长期耕耘多年,正常邮箱该有那些功能、那些问题都了如指掌,js基本功扎实,专业细致~。 有人在同样的账号登录验证机制下,越权绕过数十个后台,越权发消息、发tips、文章…增、删、改、查,一个验证机制导致整个企业成百个业务出问题,而且还持续多年,一个绿帽子找到这么一个问题,随着企业的变迁,持续着收割这种类型的漏洞。
有玩php或者mysql或者java或者nodejs或者javascript甚至chrome都很溜的分别在各自强势领域收割着漏洞,php不用说社交和数据调度展示、mysql和前端站点配合或者某些云数据库、java nodejs也有自己的适用业务环境、javascript前端审计大佬玩的很溜很溜也是导致从漏洞数量上出问题最多的语言,chrome大多客户端内嵌浏览,反正越是那种适应场景广泛的东西,越是有人盯着,在研究着。 还有资深安全从业着,通过自己的渗透、码代码、代码审计、运维经验、他只用看见目标业务一眼就知道会出现什么漏洞,再他妈的看几眼就知道这是什么cms,是那个版本的,前端后端框架用的都是啥,比业务开发运维人员还清楚!!!然后开挖机挖漏洞那就很so easy了。


个人觉得漏洞挖掘也是数据分析的一个支流,收集数据(优秀的爬虫),数据分析(去重、分类、逻辑标识),数据中价值提取(通过去重 分类好的数据进行漏洞测试,逻辑标识这个本渣只在一个只可意会不可言传的境界,要是这个搞明白也就不用手工挖洞了)。