磕磕碰碰接触信息安全也算是有两年多了,从当初一个连html都看不懂得计算机小白,到如今算是一个二线游戏厂商得安全工程师,也有两年多了。深有感触得是变化得多,其中也算是不是深入得挖过几家src得漏洞,分数也还算说的过去。突然有些关于漏洞得感慨,这篇只讲哲学不讲技术。
最还是接触安全得时候只知道注入,那么只挖sql注入,而这些被人挖烂得漏洞,注入sql注入、xss、上传、等等、加之waf得流行,这类漏洞还需要绕过waf,所以很少见这些漏洞了。这就是传说中的web2.0时代,这里之所以不提csrf其实不是觉得csrf不算漏洞只是这种漏洞评级会存在一些问题,这里稍后会说到
那么在这些漏洞很难发现得时代,于是乎挖洞得人就留存一句话名句,70%都是信息收集,因为一旦你收集到了别人没发现得域名,很有可能就会存在很多问题,于是乎,各种各样得信息收集工具,已知的、未知的、公开的字典、未公开的字典、成为了大家研究的对象、但是一旦一个技术被众人研究透了、那么每个人的起跑线也就想同了、总有一天会走到尽头的、这段信息收集辉煌的时代也可以算作为web2.1的时代。
那么当大家信息收集的都是差不多的时候,又洗礼了一遍常见的漏洞,那么这个事后漏洞又变成难以发现了,于是乎便到了一个web2.2的时代、这个时代的漏洞往往是waf检测不到,扫描器无法扫描的安全问题、于是像常见的逻辑类型漏洞、jsonp的安全问题、oauth的认证问题、就开始变得辉煌起来于是大家专注于挖掘这类型的漏洞,等到接近web2.2的尾声的时候本应是大家研究新的漏洞定义方式的时候,国内的伟大巨人轰然倒下,安全圈从一个开放的大社区,变成了每个小组各个为战的社区,新的漏洞定义方式没人再公开了,于是变得研究漏洞定义方式的人可以用自己的方法更加强大,而获取内容的人变得无洞可挖,只能还是用web2.2时代的方式去尝试在新的web时代寻求一线生机,而在这个不开放的时代,一部分人转去国外的社区找到了更广阔的漏洞定义,一部分人自己研究漏洞定义,而在后面这部分人在我的眼中又分为了两种人
一种是专心研究漏洞的人,一种是活在自己幻想中的人。其实今天是想吐槽下活在幻想中的人的(感觉写这个要被喷,不过不怕,在乎别人的言论干嘛:安全本就是孤独的)
在这里专心研究漏洞的人会变成传说中的大牛,而在自己幻想中的人会变成 “分奴” ,落了一类型的人,连分奴都不如的娱乐圈。。。。。。这种人常常会幻想出一些不算漏洞的漏洞,甚至为了评级分数,会去做键盘侠,会去做一些出格的事情(如果是这样我觉得是真没意思还不如去做灰产呢。。。。)
其实这两年的经历也算是甲方乙方都待过,对漏洞的定义也是不同的(其中乙方不是那种被吐槽扫描器工程师的乙方,而是那种真正渗透测试的乙方,虽然自己做的很差)
而这甲方乙方在一些高危以上的漏洞或许有一些内容交叉的地方,但是在大部分漏洞定义的地方是大相径庭的,乙方更看重获取目标的核心数据,这里诸如反射型xss,jsonp劫持、逻辑漏洞等等,一些高危漏洞可能被忽视掉,但是在攻击手段上可以使用一些诸如社会工程学所延申的钓鱼攻击、欺骗登方法,而在甲方的评级就截然不同了,除了乙方看重的内容,还看重用户本身的数据,于是乎衍生了一系列评级的方法,衍生了两种安全定义,威胁情报和常规漏洞。
到了这里其实忘了接下来要说啥了。。。也算差不多了 该吐槽吐槽了。
*\**有部分人对漏洞评级感到不满,做了键盘侠,这其中有真真正正的研究漏洞的人,还有一部分分奴也在其中,这些人我要骂一句 “就是傻逼”(我不是一个文明人,在砍省长大的我已经从一个说话句句背着对方亲人的人变成了一个讲文明的人了) 什么时候给你们贯的,之前前辈们挖洞给几个币子都开心的不得了,上了一个首页,分数不打折就是荣誉的时候他们说什么了?说实话给你钱给你分是情义,不给你分也没什么毛病,现在变得提交这些漏洞的人变成大爷了?(这其中有些误伤,不过恕我直言大部分都是垃圾),他们src的人不敢骂,我是敢骂的。不服的人可以找我对喷,语音我能骂哭你(这块限制地区,没有地域黑),也可以来一次身体接触我也是不怕的。嗯?某个特种兵,某个客座教授,别吹牛逼了,你那点水平谁不知道?***
那么存在漏洞是为什么呢,我认为有以下几点
1开发意识不足 人总有疏漏 绕过安全迭代更新
2安全测试太少 每人测试重点不同会有遗漏
3语言框架本身就存在问题 毕竟一开始安全不是那么重视
差不多这些 嗯最后要说几个重点
