freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

积跬步,至千里,白帽积木的挖洞之路
  • 关注
积跬步,至千里,白帽积木的挖洞之路
2022-02-25 15:54:38
所属地 上海

积跬步,至千里;积小流,成江海。作为一名白帽(道德黑客),积木用近4年时间从新手成长为MVP,他的挖洞之路正是一步一个脚印走出来的。

“当时在乙方工作,业余时间我开始和同事尝试挖一些公益项目或SRC (安全应急响应中心)漏洞,然后逐渐接触这个领域。”白帽积木向FreeBuf谈起自己2018年刚入行时的经历。

作为一个入行近4年的白帽,积木获得过2019年漏洞盒子年度MVP、2020年漏洞盒子马拉松MVP、2020年漏洞盒子季后赛MVP、字节跳动SRC2020年度排名第四等。

积木(右一)获得CIS 2020漏洞马拉松MVP

第一个高危漏洞

作为漏洞盒子的Top白帽,积木也是网络安全创新大会(CIS)白帽Live的常客。前不久,FreeBuf和积木聊了聊他的入行历程以及挖洞经验。

据FreeBuf咨询联合漏洞盒子发布的《2021年中国白帽子调查报告》显示,2021年国内白帽子总数已超过173300人,已经帮助超过数万个客户组织发现并修复了超过260万个漏洞。

此前的报告数据还显示,近70%的白帽子都是自学成才。积木也不例外,他表示,刚开始入门时经常在FreeBuf看漏洞挖掘的文章,有了基础之后经常去一些技术社区、公众号、知识星球看别人的技术分享,还会和其他白帽讨论挖掘漏洞的内容和技巧。

积木(右一)和队友在CIS现场

“有一位同事(ID:o神)经常挖漏洞经验丰富,他带着我们一起讨论,氛围很好,大家都愿意在挖漏洞上花费时间和精力。我们本身也是从事安全服务,日常工作也包括给客户做漏洞挖掘。所以业余时间我回去尝试挖掘互联网厂商的一些项目,顺便检验自己的技术水平。”

积木表示,正好同事在漏洞盒子挖洞便也加入了漏洞盒子。他还记得自己挖掘的第一个高危漏洞是在漏洞盒子的联想SRC,一个任意用户密码重置漏洞。

“刚开始对这类漏洞不太熟悉,在网上看到有任意用户密码漏洞的技术总结,看完以后我试着在SRC挖掘,想碰碰运气,后来就挖到了一个高危漏洞。”积木说,在漏洞盒子挖到第一个高危漏洞后,之后就长期在漏洞盒子参与SRC和众测项目挖掘。

进阶挖洞之路

积木挖掘较多的是逻辑漏洞。逻辑漏洞是指攻击者利用业务的设计缺陷,获取敏感信息或破坏业务的完整性。一般出现在密码修改、越权访问、密码找回、交付交易金额、退款金额等功能。

挖掘这类漏洞需要白帽熟悉业务系统和业务流程,功能越复杂的业务越容易出现逻辑漏洞,但相应的挖掘难度也会提升。积木举例,业务较单一的新闻网站,他只需要十几分钟便可熟悉,但功能庞杂的电商类网站和应用,就需要花较长时间熟悉系统功能。

挖逻辑漏洞前,积木会注册成普通用户,逐项体验APP或网站的功能。他的手机上一度同时存在数百个APP,因测试而关注的微信公众号数量达到上限。“每次都需要先取关一些公众号才能关注新的。”

积木印象最深刻的漏洞是在众测项目挖到的某金融网站SQL注入漏洞,该网站有本地的过滤函数以及云WAF,他通过不断模糊测试和查阅相关安全设备对SQL注入防御方式,同时他也咨询了其他资深白帽,最终成功挖掘出该漏洞。“挖出这个漏洞加深了我对SQL注入漏洞原理和一些绕过方式的理解,收获很多。”

CIS 2020白帽LIVE/漏洞马拉松现场

他总结了一些挖掘众测项目漏洞的经验。对于指定范围的挖掘,他会优先尝试功能更多、更复杂的系统进行渗透。“众测项目很强调挖掘漏洞的速度,我会优先测试自己擅长的漏洞类型,争取在较短的时间内发现漏洞。”

和漏洞盒子不断学习提升

挖洞需要不断精进技术,对于经常挖掘互联网公司漏洞的白帽来说更需不断学习。

积木告诉FreeBuf,他会经常系统性学习新技术,时常关注技术博客学习新技术。如果要挖掘不太熟悉的漏洞,他会“突击”学习相关技术,也会和同行沟通请教。

“想要提升技术,最首要的还是规范系统地学习相关技术。挖掘漏洞的过程也是对自己已有技能的输出。我们需要源源不断地进行知识输入,让自己的技能变得更加强大,这样挖掘漏洞才会更轻松。”积木表示。他透露,2021年参与了很多云业务的漏洞挖掘,近期还系统学习了云安全技术。

除了自我学习钻研,线下切磋也是学习方式之一。积木参加过两次CIS线下漏洞马拉松,2019年以个人名义参加,获得了漏洞盒子年度MVP,2020年积木战队获得了漏洞盒子马拉松MVP。

积木(右一)和队友在CIS 2020漏洞盒子马拉松现场领奖

漏洞马拉松的赛程采取积分制,挖到的高危漏洞越多积分越多。积木作为队长,和其他四位资深白帽共同参赛。“在线下挖过一次漏洞,现场公布挖掘范围,现场挖洞的氛围和自己一个人单独挖洞的时候更紧张刺激。”

平时的挖洞中,白帽们更多是“单兵作战”。但在CIS大会的线下漏洞马拉松上,白帽云集,互相切磋,积木遇见了不少白帽网友。

回想起刚入行的时候,积木表示,现在国家和企业越来越重视网络安全建设,白帽数量越来越多,越来越多的企业成立了SRC,项目和奖金也逐年提升;同时,各大高校也逐渐设立网络安全专业,越来越多专业人士进入网安领域,共同建设这个行业。

# 挖洞 # 白帽 # CIS # 白帽LIVR
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
第一个高危漏洞
    进阶挖洞之路
      和漏洞盒子不断学习提升