国内SRC漏洞挖掘的一些思路分享.pdf

SecurityResponseCenter

国内SRC的漏洞趋势变化

及漏洞挖掘的一些思路分享

吴永佳

关于我

一名白帽子

常用ID1993

曾活跃于多个第三方漏洞平台及众测平台

曾活跃于多个SRC漏洞平台

SSRCBSRC360SRCCSRCWSRCTSRCMSRCDSRC

WXADSRCMSRCNSRCSSRCLSRCLSRC……

1

国内SRC的

漏洞趋势变化

PN

大型互联网企业安全团队不断壮大

传统漏洞企业自动化扫描检测越来越成熟

SDLC、RASP、WAF、HIDS、蜜罐、统一认证……传统漏洞

开发框架安全性正在逐步提升挖掘成本越来越高

大型互联网企业开发人员安全意识逐步提升

2016年发生的两件对国内信息安全行业产生颠覆式影响的大事

2

多关注那些容易被忽视的资产

常规资产信息收集手段

如，IP端口扫描、同网段扫描、子域名的各类收集方式及爆破等等

当然对SRC厂商子域名和IP端口变化的监控非常重要

但是，这次我要介紹一些在平常测试中容易被忽略的企业资产

关于企业资产还应多关注以下重灾区：

非普通用户使用的系统

企业使用的外部第三方系统和比较隐蔽的系统

企业的微信公众号/小程序

企业的支付宝生活号/小程序

APPStore安卓市场的所有APP+内部APP

各省市分公司的自建站点

………………

非个人用户使用的系统

媒体认证企业认证医生认证作者认证

卖家认证开发者认证

V账号司机认证

注册账号要提供这么多信息？

主播认证

放弃，放弃，关闭页面，关闭浏览器，再见

非普通用户使用的系统

突破常规不走寻常路

当大家都朝着一个固定的方向去发现问题时，而你却独自朝相反的方向探索，往往会有惊喜

想办法提供各类资料注册（注册公司/购买营业执照；网上公开信息收集；PS）

注册不了的想办法获取到账号（爆破/撞裤；套路社工在线客服/人工客服；文库/QQ群/github泄漏等）

借账号/租账号/买账号（在部分情况下也可以当威胁情报提交）

部分平台审核不严，很多情况下提供资料注册即可通过或简单电话验证即可通过

营业执照可以轻易购买有些账号也可以花几十块钱在某宝上或QQ群上购买

有些账号也可以通过信息泄露方式获取

柳暗花明又一村

18年提交的部分SRC漏洞非普通用户注册使用系统的漏洞

漏洞多，通过率接近100%，美滋滋

企业使用的外部第三方系统和比较隐蔽的系统

有时通过网络空间资产搜索企业信息会有惊喜

如FOFA、SHODAN……

以及各类搜索引擎……

比如此类惊喜

企业使用的外部第三方系统和比较隐蔽的系统

以平安为例

企业使用的外部第三方系统和比较隐蔽的系统

以平安为例

也可以根据其证书，header信息，备案号等信息搜索……

企业使用的外部第三方系统和比较隐蔽的系统

以平安为例

企业使用的外部第三方系统和比较隐蔽的系统

18年提交的部分SRC漏洞第三方系统漏洞