从此刻开始,知识不断涌进你的脑海。
一、简单介绍
2024年11月10号,也是参加了线下李沼希师傅(希潭实验室公众号作者)的培训课,从早上10点开始一直持续到下午五点,中间午休两小时。
此次培训内容覆盖运营商漏洞挖掘与安全开发两方面,其中漏洞挖掘包含js静态分析与动态调试、社工钓鱼以及漏洞挖掘总结。
二、内容展开
从此次培训的内容来看,这两年运营商的漏洞挖掘越发艰难,运营商研发的web系统严格遵从网络安全要求,从系统测试到系统生产环节,经过基线检查、漏洞扫描、安全准入测试等多方面检查与修复,闭环系统存在的安全问题。近几年来数据安全问题越发突出,运营商应国家数据安全建设要求,开展数据安全风险评估、数据安全运营、数据安全分析与处置等工作,加强数据安全防护,降低数据安全风险。即便如此,运营商在公网暴漏面的网络安全建设方面投入不少,但某些系统平台仍存在安全漏洞,每年攻防演练攻击队都能从运营商身上拿下不少分数。
步入正题,运营商漏洞挖掘的思路就是社工钓鱼、供应链攻击与代码审计、业务逻辑漏洞。
1、社工钓鱼
为什么第一个强调社工钓鱼呢,与传统的技术攻击手段相比,社工钓鱼的实施成本较低,在获取受害者联系方式后(如邮件),往往只需要一个简单的迷惑性域名、邮件平台,再配合一定的钓鱼邮件话术,向受害者发送exe或者rar后缀文件。一旦用户点击下载并运行钓鱼邮件中的恶意程序,就会被攻击者上线C2被控端,使得攻击者直达内部网络,进行内网渗透,攻击内部脆弱网络应用。严重的话,就可以描述为被攻击者“打穿”。总结下来,攻击者可以通过简单的社交工程学手段,快速打开目标系统或目标网络的入口,进行更深层次的渗透。
据李沼希师傅所述,几乎百分之八十左右,都是通过社工钓鱼打进运营商内部网络。
2、供应链攻击
何为供应链?百度百科解释,供应链是指围绕核心企业,从配套零件开始,制成中间产品以及最终产品,最后由销售网络把产品送到消费者手中的,将供应商、制造商、分销商直到最终用户连成一个整体的功能网链结构。
何为供应链攻击?供应链攻击是指攻击者利用供应链中的环节对目标进行攻击的一种方式。供应链攻击本身包括硬件供应链攻击、软件供应链攻击以及服务供应链攻击,攻击者可以通过破坏、篡改、植入恶意代码等手段,对供应链中的某个环节进行攻击,从而影响整个供应链的安全。最有可能实现以及具备现实案例的就是软件供应链攻击。案例如下:
事件一:3CX供应链攻击事件
2023年,攻击者通过在3CX的官方升级服务器上托管植入恶意代码的安装包,使得全球约60万家企业用户面临潜在威胁。这个事件成为了典型的上游供应商沦陷案例,凸显了供应链攻击的隐蔽性和广泛影响。
事件二:SolarWinds供应链攻击事件
2020年,攻击者在SolarWinds的Orion平台软件更新中植入了恶意代码,影响了数千家使用该平台的组织。这一事件不仅暴露了供应链安全的脆弱性,也引起了全球对供应链安全的关注。从上述案例来看供应链攻击隐蔽性强,防范困难,影响范围广,给供应链中所有企业带来巨大的损失。
对于漏洞挖掘的爱好者或者从业者来说,如果需要挖掘运营商漏洞,从供应链入手,收集为运营商某系统提供技术支持,代码维护的供应商,把运营商“打下来”,对源代码进行0day代码审计。
3、业务逻辑漏洞
业务逻辑漏洞是重中之重,这也是漏扫工具缺陷所在,只能通过人的经验,技术发现这类漏洞的存在。业务逻辑漏洞不是一个具体的漏洞,而是一类漏洞的合集,包括越权、身份认证缺陷、用户名\口令爆破、验证码漏洞等等。
今时不同往日,现在大多数网站js代码经过webpack打包后,代码被混淆,无法直接分析代码。业务逻辑漏洞主要通过js静态分析与动态调试进行发现,详细js分析与调试案例过程都在文章末尾分享的PPT中。
4、代码审计
漏洞都是代码审计审出来的,在现在看来想在网络安全行业领域发展得更好,代码逻辑能力不能落下,有厚实的代码基础能力,才能更好的支撑现在的工作。
三、PPT分享
特别声明:本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。相关资源仅供学习和研究使用,请在下载后24小时内删除。
暂无评论内容