第二届i春秋挖洞大赛的一些感想
挖洞比赛嘛,根据规则就是一个问题,如何在短时间内挖到更多、等级更高的漏洞?
先分析这个问题,需求是什么?
更多?
等级更高?
短时间内?
首先要解决的是时间的问题
时间有限,所以你必须要快。如何快?把整个挖洞的流程走一遍,用最少的时间。
提前准备。因为众测或者挖洞比赛往往还没开始就已经把目标放出来了,所以可以在开始之前的前几天进行准备。将目标的资产摸一遍,整理好,去了解对方的业务,开始第一阶段的挖洞。
对各种漏洞类型原理熟悉,能够在目标身上进行套用。只能在平常的时候多练,多总结。对于不同的业务方,可能会存在哪些特殊的风险点,与及常见的一些风险点。多看看乌云上厂商的历史漏洞,进行整理,对于其薄弱环节进行统计和总结。
应对各种漏洞特殊场景的快速处理能力。其实就是骚操作,多去跟踪大佬的博客,学会总结。把姿势都拿小本本记下来。
熟练掌握各种辅助工具。只能在平常的时候多练,多总结。
- 拥有自己的神器
其次是更多的问题
漏洞是存在有等级的,有低有高。常见的漏洞类型并不一定是厂商所接收的。所以最好是看一下目标所收取的漏洞类型,然后根据漏洞类型去挖取。因为在前面的准备阶段已经进行了一阶段信息收集与熟悉业务,那么这个时候就是按照漏洞类型来挖取了。
利用神器,工具。要想挖多,但是又不限等级,最好的方法莫过于用工具去批量扫了,减少了人工去发现的漏洞风险点的时间和精力。要做的就是验证工具扫出来的是否有效。这个取决于工具是否高效了,误报过多,验证也是体力活,反而浪费了时间。比如用chrome headless来批量扫反射xss,也是可以的。前提是厂商收取。
柿子要挑软的捏。这个道理相信大家都懂。一个src或者是有自己安全团队的厂商,在放出业务来众测的时候,早就已经自己在内部测了一遍了。也就是核心业务的重要功能点都是已经被测过了一遍的了。所以要想挖的多,就得找软柿子捏,也就是边界业务,不是很重要的业务。往往测试的比较少,可以挖出一些来。
- 风险不高的漏洞。内部测试往往测的不全,业务赶着上线等等其他情况。就会出现在低风险漏洞类型往往测的比较少。可以尝试针对低风险的漏洞进行测试。
再来就是等级的问题
大多数人都知道了上述步骤,那么如何与别人不一样,拉开距离呢?那就是高等级的漏洞了。
前面说过,在这么多人测试并且已经测过了的情况下,如何发现高危漏洞?
高危漏洞往往是这两种
针对传统漏洞的类型去挖掘。比如ssrf,sqli,命令执行。
针对业务安全去挖掘。比如越权、逻辑缺陷导致的信息泄露等。
在哪里发现呢?
传统漏洞类型的话,无论是核心业务还是边界业务都是有可能出现的。
而业务安全的话,就只能是一个个熟悉业务,挖掘业务在处理过程中最不起眼的点,将一切不起眼的点联系起来。
怎么做呢?
传统漏洞的话,神器一把梭就完事了。
业务方面就是地毯式扫描所有业务,测试所有功能点,查看所有流量包。细心加猥琐思路
漏洞挖掘,最重要的是信息收集,资产等信息尽可能的收集全,提高自己发现漏洞点的几率。
实际上在整个挖洞过程中,都是在不断的重复信息收集的过程。。。
但以上,都比不上运气。。。
总结
以上是自己在这一次的i春秋挖洞大赛的一些感想,其实上面说的那些大家都知道,我只是写出来记录一下罢了。
这次挖的不多,很懒。大赛七天时间,从周三开始,周四周五这两天在划水,几乎没怎看,而周末更是去玩守望屁股去了。。。
等到最后两天的时候才想着补一下洞。结果发现自己对于业务的不熟悉,信息收集的不全,也是挖不了什么洞。
就这样结束了为期七天的线上挖洞比赛,成绩当然是不太好。。
总的来说,信息收集越全,攻击面也就增大了,提高了挖到洞的概率。
功能点就那么多,那么多人挖,憎多肉少的。
在同等工具的起跑线上,能发现漏洞点那是你的运气,而能够利用起来就是你的本事了。
后续线下决赛,没有去,主要是身体不舒服,哎。
第二届i春秋挖洞大赛的一些感想的更多相关文章
- 「白帽挖洞技能」YxCMS 1.4.7 漏洞分析
这几天有小伙伴留言给我们,想看一些关于后台的漏洞分析,今天i春秋选择YxCMS 1.4.7版本,理论内容结合实际案例进行深度分析,帮助大家提升挖洞技能. 注:篇幅较长,阅读用时约7分钟. YXcms是 ...
- unity, 挖洞特效
想模仿这个游戏的挖洞特效: 思路: 效果: 代码下载:http://pan.baidu.com/s/1kUN8goZ
- Unity大中华区主办 第二届Unity 游戏及应用大赛 实力派精品手游盘点
Unity是由Unity Technologies开发的一个让玩家轻松创建诸如三维视频游戏.建筑可视化.实时三维动画等类型互动内容的多平台的综合型游戏开发工具,是一个全面整合的专业游戏引擎.包含如今时 ...
- 转:Google Project Zero挖洞经验整理
https://www.sec-un.org/google-project-zero%E6%8C%96%E6%B4%9E%E7%BB%8F%E9%AA%8C%E6%95%B4%E7%90%86/ 1. ...
- UnityGUI扩展实例:图片挖洞效果 Mask的反向实现
转载自 https://www.taidous.com/forum.php?mod=viewthread&fid=211&tid=55259 我想大家在用uGUI做界面时,可能经常会碰 ...
- [转帖]挖洞经验 | 获取Facebook Marketplace卖家精确地理位置信息
挖洞经验 | 获取Facebook Marketplace卖家精确地理位置信息 https://www.freebuf.com/vuls/202820.html 知识就是力量 5000刀的一个漏洞. ...
- 2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup
2020年第二届“网鼎杯”网络安全大赛 白虎组 部分题目Writeup 2020年网鼎杯白虎组赛题.zip下载 https://download.csdn.net/download/jameswhit ...
- 挖洞入门_显错型SQL注入
简介:在漏洞盒子挖洞已经有一段时间了,虽说还不是大佬,但技术也有所进步,安全行业就是这样,只有自己动手去做,才能将理论的知识变为个人的经验.本篇文章打算分享一下我在挖显错型SQL注入漏洞过程中的一些个 ...
- 「白帽挖洞技能提升」ThinkPHP5 远程代码执行漏洞-动态分析
ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的,在保持出色的性能和至简代码的同时,也注重易用性.但是简洁易操作也会出现漏洞,之前ThinkPHP官方修复了一个严重的远程代码执行漏 ...
随机推荐
- RabbitMQ服务主机名更改导致消息队列无法连接
RabbitMQ服务主机名更改导致消息队列无法连接 在多节点环境中,RabbitMQ服务使用一个独立节点部署.在此环境下,如果修改了RabbitMQ节点的主机名,则需要更新RabbitMQ用户才能保证 ...
- Hadoop生态圈-使用Kafka命令在Zookeeper中对应关系
Hadoop生态圈-使用Kafka命令在Zookeeper中对应关系 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.zookeeper保存kafka的目录 二.使用Ka ...
- 微软官网给出CSS选择器支持列表
CSS Compatibility and Internet Explorer 这是在 @司徒正美 博客里看到的,所以搬到自己博客,收藏下..正如司徒兄所说,微软太狡滑了,如果把不支持的属性用红色标示 ...
- [整]Android SlidingMenu Demo 环境搭建
1. 下载ActionBarSherlock https://github.com/JakeWharton/ActionBarSherlock 2. 下载SlidingMenu https://git ...
- svn使用笔记
一.checkout:第一次下载trunk里面的代码到本地 二.commit:提交一些修改* out of date : 本地版本号 < 服务器版本号* 如果过期,就update,可能会出现co ...
- python 入门基础4 --数据类型及内置方法
今日目录: 零.解压赋值+for循环 一. 可变/不可变和有序/无序 二.基本数据类型及内置方法 1.整型 int 2.浮点型float 3.字符串类型 4.列表类型 三.后期补充内容 零.解压赋值+ ...
- linux笔记_day09
1.运算器.控制器.存储器.输入输出(IO) 地址总线:内存寻址 数据总线:传输数据 控制总线:控制指令 寄存器:cpu暂时存储器 2.系统设定 默认输出设备:标准输出,STDOUT,1(描述符)(显 ...
- Windows命令-系统木马取样
1.前言 工作中偶尔会遇到去现场提取木马样本回公司分析的情况.如果是生产环境下,不方便安装各类抓包.安全软件时.能用系统自带的命令去定位出木马程序相关的信息是最理想不过的状态. 2.Windows常用 ...
- Transition学习笔记
概述 Android 4.4.2 (API level 19)引入Transition框架,之后很多APP上都使用该框架做出很酷炫的效果,如 Google Play Newsstand app 还有g ...
- vue之给a标签赋值
<li v-for="(bp,index) in bpLists"> <a class="bidPublicityTitle" :href=& ...