我和SRC的故事
2022-6-16 20:30:19 Author: mp.weixin.qq.com(查看原文) 阅读量:4 收藏

最近某SRC和白帽子的冲突在安全圈里流传。然后王太愚发了一个朋友圈,一下让我想到自己曾经有一段SRC岁月。

在2012年TSRC成立了。腾讯打造了中国最早的甲方漏洞报告平台。作为当年的BAT之一,熊厂怎么可以没有自己的SRC?于是BSRC在2013年成立了。

当时百度安全还不是一个单独的部门。安全还只是一个小组,叫SSL,挂在INF下面。INF就是基础架构部。里面一堆大佬,例如做PHP开发组唯一中国人鸟哥,Aka  惠新宸@Laruence ,就在INF。当然,可能鸟哥这个花名具有技术buff加成,凡是叫鸟哥的,都是各自领域的佼佼者,例如还有一个做安全的鸟哥,还有一个写Linux私房菜的鸟哥。

既然有SRC,那肯定要有运营啊。我跟 Flyr4nk 就成了SRC运营了。

我当时一边要负责内部扫描出来的漏洞运营,还要跟Flyr4nk轮流运营SRC。最惨的就是做活动。

三倍积分之类的,白帽子们疯狂刷漏洞。有一次刚好是Flyr4nk运营,我在对面大楼吃完香锅,大概晚上八点多,在公司门口碰到了Flyr4nk,他一脸生无可恋,漏洞报的太多了,已经一天不停的在看了,还有很多没看完,到现在还没吃饭,要回家接着搞。

作为一个苦逼运营人员,如果都是处理SRC或者乌云披露漏洞,那非常好,走正常的处理流程即可。但事情往往并不如此简单。

2013年,Struts项目组直接把漏洞POC公开在自己的官网上。然后就是这个漏洞屠杀了整个互联网。百度,阿里,腾讯,京东......那天,整个互联网行业的安全人员都在通宵.....当时,所有安全人员都把struts官方问候了一遍。

在这个之后,能有这么共同的情感回忆的,就是heartbleed了。

为啥甲方安全人员会跳脚呢?大家都是安全人员,难道他们背叛了自己的出身?难道他们对安全的爱消失了?

这个其实会涉及到甲方安全人员后续的漏洞处置流程。

当漏洞出现后,我们需要对漏洞攻击减缓。所以就得WAF上规则。但WAF规则也不是你想上就能上的。万一上错了,误拦截了,造成故障就彻底完犊子了。

同时,要排查漏洞影响面。struts的组件到底有多少网站用了?这个就涉及到主机上的组件信息采集。又或者迅速上payload黑盒扫。然后给业务发工单推动修复。业务方为了修漏洞也得抓紧上线。

WAF上规则之前的时间,很有可能有的站点已经打穿了。应急响应要上去做处置。如果监控不健全,都有可能不知道到底产生了多少损失。

所以才会有负责任的漏洞披露流程。一个0day背后,是很多业务可能被入侵。

有一年,我在大年初一早上收到一封邮件,上面说百度网盘有漏洞,一个账户可以登录另一个账户,看到里面的全部内容。并且宣称,如果不给回复,就立马在网易新闻,腾讯新闻上举报。邮件附件是一个视频,提交者非常谨慎,在腾讯微盘还有新浪网盘上各存了一份。

当年出现过搜狗浏览器窜账户的事情,所以这个漏洞也不是不可能。我跟d4rkwind还有业务方一起拉了个会议开始处置。

因为提交者根本没有提供他的测试账户。我们没法复现。

只能点开他的视频开始看。在视频里面他把两次登录用户名打了码。但可以看出来确实是两个不同的账户。d4rkwind还根据打码露出来的一点点长度猜测可能是个L

我们看了一遍又一遍,我记得应该是从早上八点多开始看的,我们都没吃早饭,一直看到早上十点多。终于,在某一帧视频里面,我看到他点了购买这个按钮,有个跳转。当时百度网盘的会员支持百付宝(这是一个狼厂当年试图跟支付宝竞争的产品)购买,在视频最上面露出了浏览器的url,url的链接里面把百度网盘的用户名传给百付宝,这一帧转瞬即逝。

终于我们看到了用户名。

好了,视频看完后,发现一个用户名是手机号,一个用户名是邮箱。让百度网盘那边查了下,这是同一个账户。

最早百度网盘大家用邮箱就能注册,后面要绑定手机号,这哥们绑了自己的手机号。之后用手机号登录百度网盘。发现竟然“窜号”了!

之后,我们开始努力措辞。毕竟这个用户如此敏感,我们不能说,兄弟,你看你搞错了吧?我们花了一下午,写了篇既官方,又暗示他账户可能是同一个账户这件事的邮件。具体怎么写的我已经忘了。

刚处置完这件事的时候,我还挺骄傲的。看看,我通过我的智慧帮公司解决了一个大麻烦。虽然robin并不知道。有一种事了拂衣去,深藏功与名的感觉。

那年大年十五晚上,我跟Lucifier在公司处理内部扫描漏洞工单,挨个发单,挨个催修复。当时,我还是一个个电话挨个打过去,“兄弟,你有个XSS到期还没修复。”有个电话是打给ueditor的作者的。他说,“元宵节晚上,你们安全部到底能不能正常点?我待会把网站下线”

这就是一个曾经有点轴的甲方安全人员处理漏洞的故事。


文章来源: https://mp.weixin.qq.com/s?__biz=MzI1MjQwMTAyOQ==&mid=2247483797&idx=1&sn=252b4e5197a5a7340426ff00117459c4&chksm=e9e5057fde928c694d6e8ee2678757f770fc90099fb661c864125fede37d5afade39e246a991&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh