2023自动化挖洞小结
2024-1-17 08:32:31 Author: 安全小工坊(查看原文) 阅读量:33 收藏

从上一篇年终小结到现在,基本过去一年了。平台也稳定运行了两年。继续对我这个平台做个小总结吧。上篇链接地址

迟到的自动化扫描器年终小结

所谓的自动化平台有很多了,扫描器也有很多,可以说这个东西已经是烂大街了,但用起来总是不是那么满意,总是不太符合自己的使用习惯,还是头铁的做了这个平台。

做这个平台,也是希望能够发现一些普通平台发现不了的问题,而不是又增加一个捡垃圾的平台。再加上很多低危洞的标准挺模糊的,甚至审核心情不好都能来个忽略,总之这种洞交起来挺烦的,审核和开发看见低危洞估计也挺烦的,三方互相折磨。

所以现在交漏洞时基本都会做个自评,中危以上的漏洞才做提交,尽量省去各方的麻烦。

漏洞成果

今年相对去年,无论是漏洞质量和数量相比去年都有很大的进步,所以今年就简单统计了所有提交的并且被SRC确认在高危以上评级的漏洞。

整个2023年,共计高危评级以上的漏洞共计21个,其中纯扫描器发现的18个,手动发现的3个。

平时很少手动去挖洞,今年主要是双十一保卫战的活动挖了一部分漏洞,最后确认4高4中1低。

还有还有许多被定级中危低危的,这里未作详细统计。

以上基本是我的扫描器平台运行一年的情况,平均下来一个月能发现一个以上的高危。但漏洞都是分散在好多家的,具体到某个SRC可能颗粒无收。

自动化扫描这种产出并不稳定,可能一个月一下发现好几个,也可能连着几个月毛都没有,所以之前也没有取月数量发过什么文章,这里直接以年数据展示给大家,希望这里能给想做自动化扫描的师傅们一个更真实的数据参考。

漏洞类型

简单来说,在漏洞类型上今年花时间做的主要是以下三个方面,但大部分产出主要是前两类:

1day、Nday

对于安全人员来说,新版代表着不存在1day漏洞,在给出的修复方式也经常也是统一的话术——升级最新版本。

对于开发人员来说,新版代表着不稳定,谁都不知道升级了新本会出什么问题,能不动就不动。即便上新系统,能用自己习惯的版本就不用新版。

这块可以说占提交的漏洞里面很大一部分了,从通用组件到特定CMS都有遇到,甚至十几年前的老洞都被我遇到过。

未授权访问、敏感信息泄露

这个也不是什么新鲜的漏洞,网上给出的教程思路之类的文章也有很多,有些网站从功能点上看的时候都没啥问题,但是还有许多并没有直接在页面上展示出来的接口,比如js代码,接口文档之类的,看到新的接口都不防试一试,也许就有一个惊喜。

其实只要资产够多,什么离谱的事情都会发生,比如我就纯盲fuzz了一批网站,结果真的用/user/save接口添加了一个后台的账户。

低危组合

之前有说过,平台内发现了很多低危漏洞,但是每次都是给个十块钱二十块钱感觉很不值,所以就希望能够通过将一些漏洞进行组合,用低危漏洞实现一些高危操作,比如xss+跨域等。

这块想要利用起来真的是既考验技术细节掌握能力,还贼花时间,到最后审核的结果基本都不是很好,甚至还和几个审核对线过,不过最终都是觉得自己像个小丑(臭要饭的)。

垃圾洞就是垃圾洞,辛辛苦苦琢磨漏洞怎么利用还不如写俩插件跑跑,省出来打两局游戏。

总的来说最直接有效捡洞方案的都不是什么新鲜思路,就是要不插件够准,要不资产够多,无非就是看能不能把这些技巧用到极致。

至于花时间研究漏洞,呵呵。

自动化平台挖洞的劣势

虽然这个平台今年也发现了不少漏洞,但是这类平台也有着天然的不足。

  • 作为外部视角的平台,再怎么牛逼也只能检测未登录状态下的漏洞,基本不可能做到自动化发现登录状态下的漏洞。

  • 即使能做到登录扫描,也不敢真的在无人看管的情况下对正式环境进行全自动的扫描,登录态乱发请求指不定会出啥问题。

  • 目前平台做的都是通用型的检测方法,然而绝大多数漏洞在现阶段并不存在真正的通用性检测方案。虽然有各类针对性解决方案,但都是有一定的前提条件,所以像越权、逻辑、支付类以及各类功能点的漏洞都是通用型插件发现不了的。

  • 这是一个以外部黑盒视角与整个内部安全团队白盒视角的对抗。自己外部收集好久的资产对于内部来说就只是运维动动手指的事,漏洞亦是如此,外部发现得了的内部同样能够发现,而且覆盖面和效率远高于外部,如果不进行不断的优化改良,最终可能连捡个垃圾洞的资格都没有。

说到底工具终究只能喝点汤,要想吃肉还是得依靠手动挖掘。

最后

自动化扫描这个词虽然看起来已经烂大街了,但认真做做也能发现不少漏洞。

这里不是拿个开源工具扫扫就是自动化扫描了,绝大多工具看似什么都有但实际只算一个框架,依旧需要自己用时间和知识储备来填充,这也是为什么经常会发现即使相同工具用在不同的人手里发挥出来的效果也是不一样。

无论是自动还是手动,最终拼的还是自身实力。白帽子手里的扫描器就像修仙的手里的法器一样,终究是个死物,如果不能将其炼化,没有足有的能力驾驭,你能用它做的,别人只会拿它做的更好。

2023一年的运营下来,虽然发现了不少问题,但同样也还是有许多提升空间,还有太多我没做好的地方。无论是信息收集还是漏洞扫描,有太多可以优化的内容,但是都限于精力问题没有做出来。如果能将细节处理得更好,应当能够取得更好的成果。

道阻且长,2024仍需努力啊~~~

师傅师傅,点个关注吧🙏


文章来源: http://mp.weixin.qq.com/s?__biz=MzU5MTE4Mzk0NQ==&mid=2247484425&idx=1&sn=9734b3acad11d1192ab59f9e68e04988&chksm=ff578c86ebeba70fbe1bdc11aa9d304a9c61b272d6052a43cc51e596fb099b2c47876b0deb20&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh