小白如何学习挖掘漏洞 | 滴滴DSRC课程第一期

2017-02-14 12,029

前言

为了帮助各位白帽加速成长,学到更多的实用技巧。运营妹子决定开设DSRC课程,定期邀请一些嘉宾为大家进行主题分享。如果你也想来分享,欢迎到微信后台留言联系我们。

本期嘉宾

第一期课堂的主题是:小白如何学习挖掘漏洞。很荣幸邀请到了土夫子、Alex、Blood_zer0为大家进行分享。

1、小白怎么入门?

土夫子

入门没太多的技巧,主要还是学习与积累。比如对于没安全基础的人(如运维、研发、测试工程师)来说,可以在入门阶段看一些类似于Kali Linux的书,因为这种类型书覆盖比较全面,包含网络、web、数据库等相关知识,后期白帽子愿意往哪个方向发展可完全根据兴趣和自身历史知识积累情况而定。

Alex

多看书,多实战,看乌云以前的公开漏洞,学习思路。

Blood_zer0

看书--实践(整就牛)
看网上的案例(乌云镜像)

2、挖掘漏洞需要哪些技能?

土夫子

这块包含的比较多,例如网络、http、数据库、应用功能逻辑、二进制、逆向、安卓、ios。其实搞好一个就可以了。

Alex

思路清晰,嗅觉敏锐,简单粗暴

Blood_zer0

多动脑

3、挖掘漏洞的思路是怎么样的?

土夫子

深入理解业务:以滴滴为例,滴滴有多条业务线,只有理解了业务逻辑、网络边界,才能更有助于找出bug。
信息收集:关注公司动态,及时了解新业务。比如可以关注公司及业务的微信公众号。还可以多主动利用互联网关注公司新闻、走向。

大胆假设,小心验证:其实很多看似无懈可击的应用都有漏洞。在测试过程中要大胆假设,小心验证即可。
时间投入:其实这个才是最关键的,很多挖出的漏洞都需要投入超出一般人想象的时间才能挖出,个别的才是靠运气和思路。【本文由滴滴应急响应中心DSRC入驻安全脉搏SecPulse.Com账号发布,转载请注明来源安全脉搏】

Alex

web层漏洞挖掘:
将其用户名加入TOP500爆破大餐中 其次查看是否有一般邮箱的越权漏洞(越权查看他人邮件内容/任意密码修改/任意用户登录)等 再利用其社工裤获取到的密码尝试进行登陆。
挖掘子域名网站的SQL注入
这个就没啥好说的了吧… 都是单引号或者加一些延时语句判断一下的事。
挖掘逻辑漏洞
一些逻辑漏洞例如(任意用户注册/任意用户登录/任意用户密码重置/任意用户未授权登录。

Blood_zer0

web方面
(1)信息收集
web server、脚本类型、Server真实IP、Server os信息、业务功能(可以写一个爬虫,这样方便分析业务迭代)
(2)攻击漏洞
有输入的地方就可能存在漏洞:insert/delete/update/select;
有参数的地方就可能存在漏洞:有些参数是我们在页面上看不到但是实际在请求中存在的;
有请求的地方就可能存在漏洞。
(3)漏洞类型
常规漏洞
SQL注入:经常出现在一些登陆、查询、添加、删除这样的功能位置处;
XSS跨站:经常出现在一些留言、备注、个人信息等位置处;
CSRF:比较严重的漏洞出现在修改密码、添加管理员等这样的位置处。普通的如:增加收藏,刷粉丝等;
文件攻击:上传一般出现在上传头像、上传附件等位置处;
文件读取:一般出现在下载请求中;
敏感信息泄漏:svn、github、备份文件(数据库、源码、账号密码文件)、敏感目录等;
暴力破解:验证码不过时、验证码可爆破。
逻辑漏洞
支付:修改支付金额、修改支付数量、本地支付成功判断绕过等。
密码:验证码爆破、验证码泄漏、找回密码规律可循、时序绕过找回密码等等;
权限:订单遍历、个人信息泄漏、个人消息泄漏等等;通常请求中会携带明显的标识符(username/id/orderid)。

app方面
(1)信息收集
新老版本的变化(新版中很多时候会增加一些新的功能,这些就应该是我们的关注点)
(2)逻辑漏洞
支付漏洞、密码漏洞、权限漏洞(与web相通)
(3)apk漏洞
是否可以反编译:篡改后重新打包、源代码中泄漏敏感信息(appkey,请求地址、测试参数、账户密码);
是否可以调试。

4、推荐一些好用的工具

土夫子

其实工具多少意义不大,最重要是把某个工具功能和利用方法吃透。我平时主要用到的是burpsuite和几个搜索引擎。

Alex

burp sqlmap 子域名挖掘机

Blood_zer0

SqlMap、Burpsuit、Fiddler、目录(敏感文件)扫描/探测。自己编写合适的脚本:Python、PHP、Java、C#。

5、推荐一些书籍

土夫子

《web应用安全指南》、《互联网企业安全高级指南》。特别推荐《黑客攻防技术宝典 Web实战篇》,我从这本书得到很多灵感。

Alex

《黑客攻防技术宝典》

Blood_zer0

《白帽子讲Web安全》
《白帽子讲浏览器安全》
《黑客攻防技术宝典-web篇》
《黑客攻防技术宝典-浏览器篇》
《黑客技术攻防宝典-IOS篇》
《web前端黑客技术揭秘》
《Android安全攻防权威指南》
《Android软件安全与逆向分析》
《IDA权威指南》
《0day安全软件漏洞分析技术》
《揭秘家用路由器0day漏洞挖掘技术》

6、成为优秀的白帽需要怎样的心态?

土夫子

时间投入、大胆假设、小心求证

Alex

要明白为啥梦想与金钱无关,梦想不能喂饱别人但是可以喂饱自己。抛开金钱实现梦想是种态度,我们与你同行,别怕太孤单。

Blood_zer0

踏实、耐心、多分析
一定不要想着一步登天

【本文由滴滴应急响应中心DSRC入驻安全脉搏SecPulse.Com账号发布,转载请注明来源安全脉搏】

本文作者:滴滴SRC

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/55634.html

Tags:
评论  (0)
快来写下你的想法吧!

滴滴SRC

文章数:12 积分: 4

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号