当前位置: 首页 > 原创新闻 > 怎么挖洞?挖洞真没有想象中那么难

怎么挖洞?挖洞真没有想象中那么难

发表于:2021-03-17 15:05 作者: mtr 阅读数(2019人)

网络安全这个行业在世人面前一直披着神秘的面纱,网络安全工程师,我们口中的黑客,就是承接这门手艺的工种,而在黑客这个工种里面,挖洞也许是比较耳熟能详的了。

如果你大学学的是安全专业或者工作与安全相关的,可能常常被亲戚朋友骚扰:“会盗QQ号吗?”,“能帮我找到那个骗子的详细信息吗?”诸如此类的问题。世人对黑客的概念逐渐模糊,包括圈内人,因为趋利性逐渐盛行。

据2019年HackerOne黑客报告统计,72.8%的黑客挖洞目标是网站,从后端到前端,从电脑端到手机端,从浏览器到客户,基本覆盖了Web开发的每一个环节。

刀本身是没有错的,可以用于厨房,也可以用于犯罪。同样技术本来是无罪的,使用技术的人有的走向白道,有的走向黑道,于是便有了江湖,Web安全工程师,漏洞提交平台,白帽子,这一切正面的产物,都是为了对抗掌握同样技术的反派。

“脚本小子”一词是对挖洞初学者的贬义称呼,但我却认为是成为“白帽子”的必经之路。使用工具挖洞无伤大雅,现在是一个高效率的社会,你的挖洞收益必须与时间成本成正比。

台上一分钟,台下十年功,相信所有IT相关的技能的练就都需要两个秘诀:持之以恒和动手实践 。

比如“注入”的思路,对象一直在更新,从命令注入,到SQL注入,再到前端的JS注入(XSS);方法也一直在更新,从回显注入,到盲注,再到WafBypass注入。“注入”思路的掌握如同打怪升级,一步一个脚印。

在自己学习过程中遇到瓶颈的时候,也许需要被漏洞平台忽略过10个以上的漏洞才能成功通过1个漏洞,也许需要熟练使用20个工具才能手工挖洞,也许需要挖掘50个以上的低危漏洞才能看到高危漏洞的希望,也许需要手工挖掘100个以上高危漏洞才能看到0day的影子……

业内开始关注这个问题,学术界平台的教学失衡必须由工业界的实战来弥补,各种CTF比赛,挖洞比赛,各种线上培训,线下培训开始出现。

让人欣慰的是,一大批对安全感兴趣的后起之秀在这些赛事和培训中崛起。有很多文章表示黑客江湖江河日下,一代不如一代。我却不这么认为,人是需要成长的空间的,就像以前80后鄙视90后,90后鄙视00后一样,大环境不同了,标准也不同了。

现在的环境对于安全行业来说是好的,各种安全漏洞平台,安全众测平台,安全媒体平台通过各种宣传,运营,活动带给白帽子们极大的荣誉感和归属感,不仅保证了初学者可能的踩红线行为,也保证了学成者资金奖励的可靠性。

而这个大环境的缺点却是急功近利,初学者容易浮躁,产生自身价值定位错乱。“挖洞”的根本目的不是赚钱,而是自己技术的提升,这才是自己最大的漏洞收益!

挖洞人也是艺人,这门手艺可以养家糊口,干的好的还能扬名立万。“艺人拼到最后拼的是文化”,常听相声的读者应该很熟悉郭大师说的这句话。

大家都在学

基于Triger-action服务联动的规则冲突检测方法

信安OSI7层模式讲解

Fuzz实践及Module编写