企业安全团队与黑客和网络犯罪分子之间的攻防战斗是不对等的,虽然蓝队与红队使用的工具、框架和技术趋于透明和重叠,但是思维方式却依然有很大的差异。
攻击者不是研究人员,他们总是会寻求阻力最小的路径来达成目标:
-
以最少的访问权限达成目标
-
尽量掩盖痕迹
-
使用最少的漏洞
一旦确定了高回报的可利用资产,攻击者便会利用各种技术和方法来发现漏洞。有些技术和方法可以使攻击者更快地得手,而有些则需要更多时间。
查找和利用漏洞可能要花费几个小时到几个月甚至更长的时间。有些攻击者使用久经考验的方法,但其中一些最具创造力的黑客找到了通过意外媒介来入侵系统的方法。企业安全团队必须了解攻击面的哪些部分最容易吸引对手,以便制定有效的防御策略。
Randori联合创始人兼CTO David Wolpoff分享了四个鲜为人知的黑客搜寻漏洞的攻击方法,这些攻击者视角的对漏洞寻找方法有助于防御者完善和优化其防御能力,具体如下:
1从已知漏洞入手
就像安全团队面临警报疲劳一样,攻击者也面临着漏洞信息的过载,只有一小部分漏洞信息对他们的行动目的很重要。
攻击者可以将漏洞与目标进行交叉检查作为起点,但是高危漏洞(CVE)并不总是富有成效(这些漏洞是众所周知的,并且可能会受到安全团队的良好监视)。
但是,已知的CVE是发现隐藏在代码中的类似错误的绝佳起点。例如在软件开发周期中,企业中部署的代码可能会被重复使用和回收,从而可以让攻击者渗透到该环境中。如果您为当前正在开发的代码(而不是其他版本)修补了一个漏洞,则其他版本的代码中依然会存在很多漏洞。对于攻击者来说,一个比较容易的做法是审计开源代码来查找漏洞和进入企业网络的捷径。
2“此地无银”的代码注释
源代码对于攻击者来说就像是一张藏宝图。在一个软件开发周期中,开发者为彼此留下的代码问题注释在攻击者眼里就是唾手可得的果实。在开发软件时,开发人员会遍历代码并标记已知的错误区域。但是开发进展迅速,可能无法及时解决这些问题。
当攻击者在开发人员的代码中找到“FIXME”(需修复)或“RBF”(解决后立即删除)之类的标签时,内心想必是狂喜的。像这样的标签将靶心放在来潜在可利用的、未修补的漏洞上。我曾经在标有“FIXME:此处可能发生缓冲区溢出的函数中发现错误,未经修改请勿使用。”而事实是,很多问题代码就是“未经修改”就进入了生产环境,攻击者可以轻松地利用该漏洞。
3支持论坛中的求助信号
有一次,在寻找可以在目标周围进行攻击的入口时,我的团队注意到该公司正在测试一种新设备。该公司的IT团队在一个通用支持论坛中用公司的电子邮件地址发布了几个问题。暴露的资产似乎很容易被入侵。通过Google快速搜索,我们确定该设备是一家知名电话设备制造商的昂贵产品。我们在支持论坛上进行了挖掘,发现了在线发布的固件更新的一部分,其中包含三个错误。
在该案例中,URL路径解析功能中存在一个错误,该错误使我们可以绕过身份验证。另一个错误让我们无需系统管理员即可到达代码路径,从而使我们能够上传和下载文件。最后一个是任意文件泄漏错误,它使我们可以读取应用程序文件系统中的每个文件。这些漏洞利用都是公开可用的信息,其中每个信息都是通往下一个漏洞的关键。攻击者喜欢追踪您的团队成员在外网的足迹,查找可能导致利用漏洞的蛛丝马迹。
4鱼叉式模糊测试
模糊测试往往是耗时费力的漏洞查找方式,效果也很难令人满意。我们曾经接到一个任务入侵一家公司,所以我从一个相对简单的地方开始——它的员工登录页面。我开始“盲测”,输入“a”作为用户名,被拒绝访问。我输入了两个“a”,再次被拒绝访问。然后,我尝试输入1000个“a”,结果网站终止了会话。一分钟后,系统恢复在线,我立即再次尝试输入1000个“a”,登录门户再次离线,一个漏洞就这样被发现了。
模糊测试差不多是适用于查找所有网络漏洞的简便方法,但是对于攻击者来说,这是一种很少能单独起作用的策略。而且,如果攻击者对实时系统进行模糊测试,几乎可以肯定的是,他们会引起系统管理员的注意。我更喜欢这种所谓的“鱼叉式模糊测试”:用人类研究元素补充该过程,利用现实世界的知识来缩小攻击面并确定攻击点可以节省大量时间。
防御者一直专注于给攻击者的入侵增加难度,但黑客根本不像防御者那样思考。黑客受制于个人的时间和精力成本,但不受企业政策或工具的约束。
对于企业而言,养成黑客思维,并找到导致目标吸引黑客的原因是进攻性防御的第一步。首先了解被盗资产的潜在影响以及其被入侵的可能性。这能聚焦关键攻击面的防御注意力。防御者就可以有针对性地采取加固措施,并关注真正重要的漏洞。从黑客的视角观察,能使企业能够建立超越传统最佳安全实践的韧性,以建立分层的纵深防御策略,阻止那些最有毅力的黑客。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
(都打包成一块的了,不能一一展开,总共300多集)
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
1044
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
