前言: 有人说互联网安全是一场没有硝烟的战争,但军队作战讲究旷野之上的大开大合。所以更多时候,互联网安全领域更像是金庸笔下的武侠世界。
(一)源起
自1998年进入互联网元年之后,所有的一切都因为网络而改变。有人的地方就有江湖,互联网不外如是。过去的二十年,互联网安全领域宛如武侠小说中侠客武林,不论是成名侠客还是后起之秀都游走在这块边线并不明晰的处女之地。
白帽黑客应运而生。
黑客的眼中:一切信息产品的缺陷,包括但不限于产品软硬件和协议实现乃至于安全策略上的缺陷都成为了追逐的猎物。他们游走在正邪之间,在外人的眼中色彩神秘。
自古黑白相生,白帽更像是行走在阳光下的黑客
白帽者,亡羊补牢,精深之士更是料敌于未发。
但自古好事多磨,年轻气盛的白帽一众,在面对社会偏见、金钱诱惑的风浪之时,常常被不受重视和极易越线的行为考验着内心的底线。
(二)时局
鉴于此,便有了诸如Pwn2Ow和网络安全生态峰会之类的武林大会给白帽们提供一展拳脚的舞台来纠正社会的偏见,
各个厂商,推出金额屡创新高的赏金计划 来表现自己对白帽的重视,
甚至于网络安全相关的法律法规也在使这一方江湖的轮廓越来越清晰,给更多人划出了底线。
但对于白帽来说,这些都还不够。
自身的修行才是安身立命之本。
不管你相信天下武功唯快不破,或者只要功夫深铁杵磨成针,都没关系。
萧伯纳说,交换苹果的结局是一家一个,但交换思想却能1+1>2,所以阿里聚安全向大家推荐一个分享内功心法,互相切磋的平台—— 先知安全技术社区
(三)打造白帽子的藏书阁
先知安全技术社区是云盾先知(安全情报)旗下产品,旨在为安全技术研究人员提供一个自由、开放、平等的交流平台。目前有漏洞研究、安全工具、黑产分析、先知众测、技术讨论等几大版块,内容涵盖渗透测试、代码审计、Web安全、移动安全、二进制安全、无线安全等多个领域。
不管你是信息安全小白,还是资深大牛,先知技术社区的优质内容一定让你“满载而归”。
先知的使命是为白帽子打造一个最好的社区,让大家在这里获得技术灵感,分享技能,找到伙伴,获得通向目标的加速度,并不断完善自我。
(四)近期的一些干货推荐
社区近期推荐文章(社区保护、鼓励原创,排名不分先后)
——先知Xss挑战赛 – L3m0n writeup
——https://xianzhi.aliyun.com/forum/topic/83/
M师傅语录:
题目很多围绕着security header来出题,希望开发者重视这些问题,在防御上,正确的设置下面的值,是能够避免很多问题.
content-type、x-xss-protection、x-frame-options、x-content-type-options
(玩了挺久的一个挑战,整个过程中被虐到变形,感谢M师傅的小课堂,学习到很多新姿势.)
所有XSS题目均可以通过让受害者访问特定的链接或页面的方式在受害者的浏览器&当前域下执行JavaScript。
有些题目可能需要在特定的浏览器下完成。浏览器版本以Chrome60,Firefox55,Safari10,IE11,Edge40或更新版本为准。
POC通过验证后我会把你的id添加到解题成功者的列表里。Have fun!
——安全圈关系可视化分析(安全圈也许就这么大续集)
——https://xianzhi.aliyun.com/forum/topic/39/
即将迎来国庆+中秋小长假,部分同事已经请假提前回家,工作氛围感觉渐淡下来,于是开始整理最近以来的工作的总结,以及开始准备节后一个技术沙龙的议题,还有节后的工作计划,闲暇之余聊到了二哥(gainover)之前的“安全圈有多大?”于是又重温了一遍,二哥作为生物学博士,使用生物学中分子的分析方法分析了安全圈的关系。二哥通过爬取腾讯微博的数据,以自己为起始点爬取用户的关注了哪些人,通过这种可视化方法能得到很多有意思的信息,下面记录一下实践过程吧~
——HTTP Fuzzer V3.6【 附50个插件】
——https://xianzhi.aliyun.com/forum/topic/468/
HTTP Fuzzer是一款为了评估WEB应用而生的Fuzz(Fuzz是爆破的一种手段)工具,它基于一个简单的理念,即用给定的Payload去fuzz。它允许在HTTP请求里注入任何输入的值,针对不同的WEB应用组件进行多种复杂的爆破攻击。比如:参数、认证、表单、目录/文件、头部等等。
在Fuzz请求完成后,目标应用发回来的响应提供了Fuzz请求所造成影响的各种线索。如果发现了异常,就可以确定于异常相关的请求。下面总结了一些响应信息,这些响应信息可能指示漏洞条件的存在:HTML状态码、响应中的错误信息、响应中包含的用户输入、性能下降、请求超时、WEB Fuzzer错误信息、处理或者未处理的异常
——黑客入侵应急分析手工排查
——https://xianzhi.aliyun.com/forum/topic/1140/
一个常规的入侵事件后的系统排查思路(如图),但却可能是网上最全面的的一份排查资料了。
——Android蓝牙远程命令执行漏洞利用实践:从PoC到Exploit
——https://xianzhi.aliyun.com/forum/topic/6/
Author: thor@MS509Team
CVE-2017-0781是最近爆出的Android蓝牙栈的严重漏洞,允许攻击者远程获取Android手机的命令执行权限,危害相当大。armis给出的文档[1]中详细介绍了该漏洞的成因,但是并没有给出PoC和Exploit,我们只好根据文档中的介绍自己摸索尝试编写Exploit。
本文研究了Android蓝牙栈的远程命令执行漏洞CVE-2017-0781,探索了从PoC到编写exploit的过程,算是比较顺利地写出了exploit,还有一点缺陷就是堆中固定地址addr_A的获取,现在暂时只能根据不同手机硬编码。欢迎大家一起研究探讨!
——云悉指纹 – 可能是目前为止最用心的cms指纹识别
——https://xianzhi.aliyun.com/forum/topic/469/
依稀记得半年前,曾在某安全社区表示过要还大家一个全网最强cms指纹识别,那时候的想法还是很简单,可能只需要搜集各方工具指纹特征,然后写个脚本遍历特征识别,再做一个ui,一个指纹识别的轮子就诞生了,但是很明显没有什么意义,我并没有这么去做,所以放了一段时间去思考,因为我坚信小功能也能搞出大事情。
云悉情报平台的初衷很简单,也很粗暴,就是单纯的解放白帽子手里的大把工具,因为在安全界有这么一个现象:有编程能力的白帽子喜欢写工具,以至于同类的工具一找一大把,鉴于个人能力不同,可用性良莠不齐,有些工具“流芳百世”,有些“昙花一现”。