一、對(duì)滲透新人成長(zhǎng)的建議

1. 挖洞一定要去實(shí)戰(zhàn)，不能只在漏洞環(huán)境復(fù)現(xiàn)漏洞，實(shí)戰(zhàn)和環(huán)境是不一樣的。實(shí)戰(zhàn)環(huán)境的選擇：

1. 漏洞盒子：新人建議首先去尋找漏洞和挖洞，漏洞盒子接受大多數(shù)互聯(lián)網(wǎng)漏洞，無(wú)論該單位是否在盒子上面注冊(cè)過(guò)，漏洞審核相對(duì)容易通過(guò)。

2. 補(bǔ)天：分為公益SRC和專屬SRC，補(bǔ)天的審核較為嚴(yán)格，且通常只接受在補(bǔ)天注冊(cè)的廠商的漏洞好大中型廠商漏洞，其他小站漏洞通常審核不通過(guò)。再熟悉漏洞盒子挖洞后，建議去補(bǔ)天挖洞，先挖公益SRC，再去挖專屬SRC(給現(xiàn)金獎(jiǎng)勵(lì))

3. 各大互聯(lián)網(wǎng)SRC，能夠在補(bǔ)天專屬SRC挖洞，基本可以去各個(gè)互聯(lián)網(wǎng)SRC挖洞了，無(wú)論大小廠的SRC都可以嘗試。

2. 掌握利用簡(jiǎn)單、危害高的邏輯漏洞 常見(jiàn)的簡(jiǎn)單高危漏洞，提交漏洞要制造出高傷害：

1. 競(jìng)爭(zhēng)條件漏洞（并發(fā)抽獎(jiǎng)、領(lǐng)取、提現(xiàn)等）

2. 水平越權(quán)：當(dāng)一個(gè)公司用戶量越大，越權(quán)造成的用戶數(shù)據(jù)泄露越多，對(duì)甲方的危害極大。注意提交漏洞時(shí)，可以遍歷一下泄露用戶數(shù)量的上線，有時(shí)候一個(gè)簡(jiǎn)單的越權(quán)，泄露幾百萬(wàn)用戶信息，但切不可拖數(shù)據(jù)(犯罪)，遍歷統(tǒng)計(jì)上限和樣本即可。

3. 各種刷量的邏輯漏洞：例如電商的搶優(yōu)惠卷，社區(qū)的刷點(diǎn)贊、人氣、視頻的刷播放量等。

4. 測(cè)試邏輯漏洞是，注意Response返回包中的信息，有些Response返回包的參數(shù)被篡改后，會(huì)進(jìn)入下一步邏輯流程，并使用被篡改的參數(shù)在下一步流程提交。

3. 學(xué)習(xí)前端跨域漏洞：JSONP劫持、CORS、CSP等 面試過(guò)不少年輕的白帽子，不熟悉前端跨域漏洞。在不少互聯(lián)網(wǎng)公司JSONP劫持是常見(jiàn)的漏洞，建議大家要學(xué)會(huì)前端漏洞挖掘和基礎(chǔ)知識(shí)。

4. 提交漏洞要做出高危害 幾個(gè)例子：

1. SSRF:內(nèi)網(wǎng)應(yīng)用越多，危害越大。提交漏洞不要只掃描一下內(nèi)網(wǎng)訪問(wèn)多個(gè)系統(tǒng)就提交了，建議拿下一個(gè)內(nèi)網(wǎng)應(yīng)用的權(quán)限，內(nèi)網(wǎng)應(yīng)用通常漏洞多，弱口令多，造成高危害后提交。

2. 水平越權(quán):上面說(shuō)過(guò)了，遍歷出影響的用戶量，如造成用戶數(shù)據(jù)泄露或篡改，遍歷泄露的用戶數(shù)據(jù)量、可篡改量。

3. XSS:能打到幾個(gè)賬號(hào)的Cookie并登錄最好，或接收到后臺(tái)的cookie登錄后臺(tái)，將漏洞盡可能升級(jí)其影響范圍。

4. 其他漏洞類似，盡可能做出高危害和對(duì)業(yè)務(wù)的影響。

5. 要多挖APP漏洞，移動(dòng)互聯(lián)網(wǎng)時(shí)代，很多互聯(lián)網(wǎng)公司90%以上的流量在APP端。

5. 滲透人員要學(xué)會(huì)代碼層如果修復(fù)漏洞，盡量細(xì)化到用哪個(gè)函數(shù)（會(huì)攻擊也會(huì)防御） 例如：指導(dǎo)研發(fā)修復(fù)要細(xì)化到修復(fù)漏洞的函數(shù)和示例代碼，后端用函數(shù)，前端過(guò)濾為了減少后端服務(wù)器的計(jì)算壓力。

1. 代碼層如何修復(fù)xss漏洞：后端：在html輸出用哪個(gè)函數(shù)過(guò)濾，在JavaScript中輸出，用哪個(gè)函數(shù)過(guò)濾等；前端對(duì)輸入做哪些過(guò)濾。

2. 代碼層如何修復(fù)SQL注入漏洞：后端PHP代碼用哪個(gè)函數(shù)，JAVA代碼怎么做。前端對(duì)用戶輸入做哪些過(guò)濾。

3. 水平越權(quán)的修復(fù)：校驗(yàn)用戶Session，不能只校驗(yàn)uid等等。

4. 其他漏洞修復(fù)類似，不要只提一句話修復(fù)文字，最好能夠細(xì)化到代碼層的實(shí)現(xiàn)，或者邏輯的設(shè)計(jì)，針對(duì)邏輯漏洞，說(shuō)明邏輯，或者能畫出邏輯流程圖和文字更好，方便產(chǎn)品經(jīng)理和開(kāi)發(fā)理解。

二、安全人員要熟悉公司業(yè)務(wù)

甲方安全人員必須知道公司是怎么賺錢的、怎么贏利的，這樣才能夠知道直接影響公司利益的業(yè)務(wù)系統(tǒng)、部門人員，知道這些才是重要的，提交漏洞要優(yōu)先和能夠贏利的業(yè)務(wù)掛鉤，這樣安全需求和修復(fù)漏洞更能夠受到重視。可惜不少甲方安全工程師，不熟悉公司業(yè)務(wù)，不知道公司利潤(rùn)的來(lái)源，支持業(yè)務(wù)的生產(chǎn)系統(tǒng)和各個(gè)部門人員。

三、熟悉滲透之后的4個(gè)技術(shù)方向

熟悉滲透之后的4個(gè)技術(shù)方向：安全開(kāi)發(fā)、Android逆向、安全產(chǎn)品運(yùn)維、業(yè)務(wù)風(fēng)控。建議：優(yōu)先安全開(kāi)發(fā)和Android逆向。

當(dāng)熟悉滲透之后，比較容易上手的兩個(gè)技術(shù)方向是：安全開(kāi)發(fā)、Android逆向。建議滲透人員不能只會(huì)挖Web漏洞，熟悉之后，學(xué)習(xí)Python開(kāi)發(fā)、PHP開(kāi)發(fā)（含代碼審計(jì)）。也可以學(xué)Android逆向，能夠逆向、修改、分析Android APP。做到：滲透+安全開(kāi)發(fā)，或者 滲透+Android逆向。

安全運(yùn)維和業(yè)務(wù)風(fēng)控（風(fēng)控引擎、大數(shù)據(jù)、AI、機(jī)器學(xué)習(xí)、黑灰產(chǎn)羊毛黨對(duì)抗等）這些需要有生產(chǎn)環(huán)境才能夠?qū)崙?zhàn)，建議工作之后找機(jī)會(huì)學(xué)習(xí)。在有足夠的用戶量、流量、黑灰產(chǎn)對(duì)抗環(huán)境中，才能夠?qū)崙?zhàn)成長(zhǎng)。

文章轉(zhuǎn)自系統(tǒng)安全運(yùn)維
如有侵權(quán)請(qǐng)聯(lián)系刪除