今天聊一聊,你心里认为的漏洞是什么?
首先我说下我的观点:一切漏洞都要以数据作为核心。
如果你是一名安服人员,那么渗透测试、编写报告是必须的工作之一,那么你在 渗透测试结束以后,在编写报告的时候,你会在报告中体现哪些漏洞?比如发现的sqli、xss、rce、弱口令?
当然,这些比如owasp top10这些漏洞大家如果发现肯定会写上去,那么如果是一些扫描器如AWVS扫出来的漏洞,比如什么cookie未设置httponly、未采用https传输、服务器开启了http options、tomcat默认后台、win2003服务器版本过低泄露这些,不知道大家会不会写上去?我相信刚刚列举的几个漏洞,肯定有人会写在报告里吧。
当我刚接触到这个安服行业时,在前人渗透测试的报告中看到这些漏洞时,我确实着实一惊,当时心里是一万头草泥马奔过。当我在客户那里看到友商报告时,不仅把以上刚刚提到的漏洞写在了报告里面,还给评级了高危,当时我真的发觉两角的眼泪不是错觉。现在的人是怎么了,现在的友商又是怎么了?
可是,有人就是把它当做是漏洞。因为他们的理由是,确实存在这个危害,可是我想说,你一个cookie未设置httponly漏洞在没有xss的情况下能拿来做什么?你一个未采用https传输漏洞又能拿来做什么?以上所列举的“漏洞”在我看来,不是漏洞,而最多只能当成是一个风险点。当然,漏洞的危害在于个人,有些人就是能把一个在其他人眼里的低危漏洞组合打成高危。话又说回来,如果一个网站什么漏洞都没找着,你会在报告里写上这些风险点去凑数吗?难道还是直接说“该网站暂无安全隐患”?
原来,在一个我看不起的漏洞面前,能够忽悠客户买一套几百万的设备。现在都说,要推倒盒子设备,走向服务和云。可是有些客户,比如政府这些,他们恰恰需要的就是能够看得见的盒子设备,你服务虽好,他们领导看不到,会觉得拨下来的钱打了水漂。而且,就像上面提到的几个风险点,在内行人看来,那些风险点都无法利用,但是在外行人看来,只要你是高危,不管你写的啥,只要图表上面一片红,客户就会吓得买买买了。
原来,这些漏洞还能赚钱。这几年,是网络年,是科技年,也是数据泄露年,时不时给你爆个XXX网站数据泄露就能让你花容失色,导致现在的互联网越来越看重信息安全,纷纷成立src。src全称为应急响应中心,只要你在相应的src平台提交漏洞,都有可能获得积分,并且可以用积分去兑换软妹币和商品。我了解一下那些玩src的朋友,发现一些我都不会打算写在渗透测试报告里的漏洞,如无法组合利用的csrf、路径泄露等等这些,在src平台提交,也是可以通过并且获取积分的。原来,这就是我穷的原因。
勿忘初心,方得始终。
每个人都会渐渐变成一个你原先讨厌的样子。说了这么多,感觉根本没啥用,因为我现在也会为了不写“该网站暂无安全隐患”而几上几个存在的“漏洞”,也会在报告中写上几个根本无法影响到数据的“漏洞”。但是我一直记得勿忘初心,方得始终,以至于让我再怎么凑“漏洞”数量,我还是凑不过别人,因为我永远想不到对手会把一个win2003服务器版本过低定义为高危。
|小黑屋|手机版|中国白客联盟-BUC
( 赣ICP备15007148号-6 ) 
窥视卡
雷达卡
发表于 2017-9-1 12:30:55
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2017-9-1 17:49:55