欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

安全摘记:互联网安全小兵的日常

来源:本站整理 作者:佚名 时间:2016-08-17 TAG: 我要投稿

生活不只有眼前的苟且,还有诗和甲方。于是,我来到了甲方,成为了一个互联网安全小兵。
在乙方Web安全研究团队的时候,可能更关注于某一方向的安全技术,像一个侠客的角色。而到了互联网公司,也算甲方了,那么我们安全工程师不光要关注安全技术本身,更重要的是要理解安全和业务的关系,这时候我们要有一个建设者的意识,要思考如何帮助我们的产品更健壮,让我们的业务更健康。
当然,不积跬步无以至千里,作为一个互联网安全小兵,还没上升到安全策略和方案的层次,我的日常还是与一个个漏洞为伴,就分“应急响应中心(SRC)”和“产品安全内测”两部分工作来说几点体会吧~
一、应急响应中心 (SRC)
我们不生产漏洞,但我们不只是漏洞的搬运工。
在SRC的日常工作流程简要描述:
接收漏洞–>验证漏洞–>通知相关负责人修复(可能会反复讨论漏洞危害和修复方法)–>漏洞复测–>漏洞确认修复
那么,从一个漏洞被发现,到最终修复这就是一个闭环,顺利的话是这样,不顺利的话其中的曲折和槽点就…
1、有一种懂叫白帽子以为你懂
以前,自己去漏洞平台交洞的时候,因为懒或者确实不晓得,在“危害”和“修复建议”里往往就跟风填个“你懂的”(类似的还有”你们更专业”,”你们更了解”,”大家都懂的”),装作老司机的样子(哥就是这么潇洒)~
直到我来到了SRC…我想哭诉,我不懂啊,表哥求带啊,表哥你交了漏洞你要对我负责啊!!!
举个栗子,看图

亲爱的,你告诉我,你贴张图,一句“你懂的”,是想说啥 ???
我真是一脸懵逼.jpg~你好歹给个问题链接啊,你好歹告诉我下你这个“dz_ssrfscan.py”程序能分享不,能下载来测试不…此时的我,只能45°仰望天空,仿佛沙子迷了眼睛。
不哭,这个时候,我不能辜负白帽子的信任,不能为咱SRC丢脸!通过分析标题,找到对应的站点,然后看截图工里的“dz_ssrf”推测是discuz的ssrf漏洞(搞得跟侦探推理样),如果是自己之前没处理过的,就要从网上找相应的文章,然后看着文章学习测试,好不容易哦测出来了,半天都过去了…
所以,我要在这里忏悔,我以后再也不“你懂的”了,所以,SRC的小兵们最喜欢的就是那种漏洞报告写的清晰明确,复现所需的信息都提供,还提供自己的修复建议的,我们一般管这种白帽子叫,亲哥!嗯,亲哥!有加分哦
嗯,漏洞确认环节我这已经完成了,下一步就是通知业务部门的负责人。
2、一脸懵逼:XSS就是弹个框?这个漏洞我打开URL一片空白是不是就没问题?
上文中处理的这个Discuz的ssrf漏洞是没有回显的,所以,我已经意识到接下来的蛋疼了。写好漏洞处理报告,发给业务负责人。然后就有了下边的对话:
业务:哦我第一次遇到这个漏洞,你这个漏洞能导致啥?
我:巴拉巴拉….5分钟
业务:好的,我看下…过了5分钟…要不我给你打电话吧
我:好的,然后电话……又过了5分钟
业务:哦好的,那怎么测试呢?
我:这个漏洞确实比较蛋疼, 你可以对比下我给的两个测试链接
业务:哦,那我打开url页面一片空白,是不是表示就没啥问题?
我:…..
此处沟通交流省略…最后终于和业务方对漏洞的认识和可能导致的风险取得了共识,我心没碎(^o^)/~
对这个举的ssrf的例子简单说明下,对于没有回显的ssrf,确认的话零成本我是采用通过漏洞接口请求存在和不存在的内网资源然后对比返回时间,通过不存在的文件页面返回时间明显快于存在的文件来推测目标服务器请求了我们提交的url。这个,对于第一次遇到这个漏洞的人来说,确实需要理解。

到了这里,一个漏洞中最难的部分已经完成了。
对于一个已确认的漏洞来说,处理流程中我认为最难的点就是如何帮助业务方也能对漏洞的情况进行复现,并且要动之以情晓之以理将问题解释清楚,让业务方也能理解到漏洞的危害,帮助找到问题的成因。
如果不能良好的沟通,就容易引起误解,比如如果对XSS解释不好的话,业务可能认为XSS就是弹个框…汗
3、修复:方法有多种,落地有曲折
首先,就是工作排期的问题,如果漏洞修复没有和业务方kpi挂钩的话,说服业务方尽快修复还是要多费些口舌的。但是只要大家是为了让业务更好,更安全的话,问题也不大。
然后就是对修复结果的确认。
如果一个反射型的XSS漏洞,然后业务说修复了,最后复查发现,修复的方法就是那个接口禁止了GET方式的HTTP方法,然后一个GET的XSS就变身成了POST方式的XSS…你在逗我吗, b( ̄▽ ̄)d
通过和业务沟通说是因为那个接口被调用较多,不能一下子修改,然后经过讨论,建议将接口的数据声明从html格式声明成json格式,让浏览器不解析执行。考虑到接口调用较多,难以短时间改变,我们作为安全工程师也理解业务的情况,会定期跟进,直到该漏洞修复,不过对于GET改POST的XSS

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载