给国内知名大厂提BUG有感：安全是一种意识

前言

本周一(2019.07.22)，给某知名手机“大厂”提了个安全BUG，默默修复了后，周五回复我“已忽略”，此处省略上千字的心理活动.....

做安全的朋友说这都小事，国内氛围本来就不太好，hackone就不会这样。

今天周六写些文时，既然安全问题已修复，那直接发文也不存在什么问题，但是，

写文过程中抓包补图，发现安全问题修复只是表象，文章写了一半，发也不是不发也不是...

斟酌再三，做事哪有做一半的道理，于是写完了本文，图片全部打码处理，交流为主提高大家的安全意识。

如若此文有不妥之处，请联系我删除。

 

一、安全漏洞

不废话，先说这个安全漏洞：

• 漏洞：无鉴权可随意上传任何图片url，图片链接可分享他人访问 

 

• 危害：

1. 上传什么微商营销图片，以官方名义分享传播，确为官方地址，用户上当受骗几率倍增，损害官方权威与公信力；
2. 上传政治敏感类(反D，反G)的图片，并被传播，则是对企业是致命的；
3. 上传点小黄图...
4. 竞争对手，上个图造个谣，发点假消息..
5. 说到底就是一个免费图床，你能想通过图达到的目的基本都可以。

 

• 解决方案：

1. 方案一，增加鉴权：上传需要鉴权操作
2. 方案二，隔离外网访问：如是只是内网测试，建议隔绝外网访问，内网通可以vpn异地访问

Findyou：因不确定其URL的作用，只是浅显的给了两个最基本的建议。（请见图3）

 

• 官方答复：

没有安全隐患！

 

 

• 漏洞状态：

1. 官方：以为修复，然后忽略

2. 我：Open (2019.07.27)

#原因
#1.仅屏蔽了原来上传WEB页面URL访问
2.上传图的API接口仍可以随意上传

 但我也不会再去提BUG给平台，就这样喽，已在心里拉黑大厂，哈哈哈，总结请见第三节。

今天验证漏洞未修复：

 

 

二、事件经过

•  周一：发现漏洞

1. 手机收到推送消息“测试链接”（请见下图4）
2. 测试长期养成的好奇心，手痒点击通知，自动安装了其官方某APP
3. 玩了一下乏味，自已的测试习惯，用抓包工具玩一玩
4. 所有请求都是https的，手机就算装了Fiddler证书，APP操作过程也会提示证书不安全，安全意识很高哈
5. 花3分钟遍历了一下界面，发现个URL，WEB打开显示“内销xxx测试图片上传”界面...（请见图6）

 

•  周一：反馈平台

1. 谨慎上传了多张图片，WEB上传，API接口上传都成功... [一脸蒙逼图]
2. 在朋友的指导下，将漏洞整理后，通过SRC平台反馈官方 (请见图1)
3. SRC平台漏洞进度：待审核
4. 发现BUG的喜悦，让一天的心情都变得很美妙

 

•  周二：官方第一次修复

1. 周二查看，已发现官方屏蔽了WEB上传的入口
2. SRC平台漏洞周二进度：待审核

 

•  周三：官方第二次修复

1. 周三官方又进行了修复
2. SRC平台漏洞周三进度：待审核

 

•  周四：漏洞已修复，进度待审核

1. SRC平台漏洞周四进度：待审核

 

 

•  周五：漏洞已修复,拜拜了您

1. SRC平台漏洞周五进度：已忽略
2. 漏洞什么漏洞，不存在的，您开什么玩笑
   

 

•  周六：写文补图，漏洞只修了表面

1. What？原来只是修复了表面，API还是没有鉴权。

 

 

三、事件思考

• 我的测试习惯：

1. 追根问底的习惯，当然也会因时间关系错过很多BUG，所以一直在提升自我能力与视野同时，定期深入测试一线，以保持发现BUG的能力，所以才有我在写本文过程中发现，安全问题其实根本没有真正修复。
2. 截图或留日志的习惯，此文中大部分图是在测试时习惯性的保存，所以此文整理没有花费太多时间，有图有证据，谁都别想甩锅给测试小伙伴。
3. 多次验证结果的习惯，问题出现大部分是偶然，必现步骤与必现环境，需要不断求证自己新的假设，在条件允许的情况下尽量不放过一处BUG。
4. 延迟满足的习惯。

• 安全意识：

1. 几年前我对安全的较浅的认知，《浅谈MITM攻击之信息窃取(解密315晚会报道的免费WIFI窃取个人信息)  》https://www.cnblogs.com/findyou/p/5285900.html
2. 安全问题依旧是人的问题，从未变过：关键岗位人员安全意识薄弱，能力受限与视野窄，决策失误。
3. 内部测试URL的泄漏，与安全问题响应时间，从侧面反应，也许某厂的管理是混乱的，流程是繁琐的。
4. 一定程度反应，某厂安全平台负责人在安全意识，可能跟我水平不相上下，很菜，指哪动哪，完全不去思考延伸，业务关联等，仅修复了表面问题，深层次即鉴权的问题，完全没管。

• 如何规避此类安全问题：

1. 内部测试URL、工具等，严禁外网访问
2. 内部所有访问与操作，理应配相关权限，SSO管理也是不错的选择
3. 新员工安全培训，不应该限于代码安全，配置安全，对弱密码、社工相关的也应提供相应的培训
4. 定期评估关键岗位人员能力，以实操为主，排除仅是PPT的能力
5. 系统、代码等常规漏洞，管理、流程等漏洞也是需要定期评估
6. 建SRC平台，提供给白帽反馈的渠道，如何激励是关键，不然就如同某厂....嗯，我居然能排在第68位
7. 有能力则邀请专业人员或专业团队定期做安全评估。

 

 

附：

1、Android抓包方法(一)之Fiddler代理

2、Android抓包方法(二)之Tcpdump命令+Wireshark

3、Android抓包方法(三)之Win7笔记本Wifi热点+WireShark工具

4、浅谈MITM攻击之信息窃取(解密315晚会报道的免费WIFI窃取个人信息)  

 

 

转载说明

本文为原创文章，如需转载，请在开篇显著位置注明作者Findyou和出处

转载于:https://www.cnblogs.com/findyou/p/11256425.html