- 黑客思维:寻找安全漏洞的四种创新方法
- 来源:安全牛
点击蓝字关注我们
企业安全团队与黑客和网络犯罪分子之间的攻防战斗是不对等的,虽然蓝队与红队使用的工具、框架和技术趋于透明和重叠,但是思维方式却依然有很大的差异。
攻击者不是研究人员,他们总是会寻求阻力最小的路径来达成目标:
以最少的访问权限达成目标尽量掩盖痕迹使用最少的漏洞
一旦确定了高回报的可利用资产,攻击者便会利用各种技术和方法来发现漏洞。有些技术和方法可以使攻击者更快地得手,而有些则需要更多时间。
查找和利用漏洞可能要花费几个小时到几个月甚至更长的时间。有些攻击者使用久经考验的方法,但其中一些最具创造力的黑客找到了通过意外媒介来入侵系统的方法。企业安全团队必须了解攻击面的哪些部分最容易吸引对手,以便制定有效的防御策略。
Randori联合创始人兼CTO David Wolpoff分享了四个鲜为人知的黑客搜寻漏洞的攻击方法,这些攻击者视角的对漏洞寻找方法有助于防御者完善和优化其防御能力,具体如下:
01从已知漏洞入手
就像安全团队面临警报疲劳一样,攻击者也面临着漏洞信息的过载,只有一小部分漏洞信息对他们的行动目的很重要。
攻击者可以将漏洞与目标进行交叉检查作为起点,但是高危漏洞(CVE)并不总是富有成效(这些漏洞是众所周知的,并且可能会受到安全团队的良好监视)。
但是,已知的CVE是发现隐藏在代码中的类似错误的绝佳起点。例如在软件开发周期中,企业中部署的代码可能会被重复使用和回收,从而可以让攻击者渗透到该环境中。如果您为当前正在开发的代码(而不是其他版本)修补了一个漏洞,则其他版本的代码中依然会存在很多漏洞。对于攻击者来说,一个比较容易的做法是审计开源代码来查找漏洞和进入企业网络的捷径。
02“此地无银”的代码注释
源代码对于攻击者来说就像是一张藏宝图。在一个软件开发周期中,开发者为彼此留下的代码问题注释在攻击者眼里就是唾手可得的果实。在开发软件时,开发人员会遍历代码并标记已知的错误区域。但是开发进展迅速,可能无法及时解决这些问题。
当攻击者在开发人员的代码中找到“FIXME”(需修复)或“RBF”(解决后立即删除)之类的标签时,内心想必是狂喜的。像这样的标签将靶心放在来潜在可利用的、未修补的漏洞上。我曾经在标有“FIXME:此处可能发生缓冲区溢出的函数中发现错误,未经修改请勿使用。”而事实是,很多问题代码就是“未经修改”就进入了生产环境,攻击者可以轻松地利用该漏洞。
03支持论坛中的求助信号
有一次,在寻找可以在目标周围进行攻击的入口时,我的团队注意到该公司正在测试一种新设备。该公司的IT团队在一个通用支持论坛中用公司的电子邮件地址发布了几个问题。暴露的资产似乎很容易被入侵。通过Google快速搜索,我们确定该设备是一家知名电话设备制造商的昂贵产品。我们在支持论坛上进行了挖掘,发现了在线发布的固件更新的一部分,其中包含三个错误。
在该案例中,URL路径解析功能中存在一个错误,该错误使我们可以绕过身份验证。另一个错误让我们无需系统管理员即可到达代码路径,从而使我们能够上传和下载文件。最后一个是任意文件泄漏错误,它使我们可以读取应用程序文件系统中的每个文件。这些漏洞利用都是公开可用的信息,其中每个信息都是通往下一个漏洞的关键。攻击者喜欢追踪您的团队成员在外网的足迹,查找可能导致利用漏洞的蛛丝马迹。
04鱼叉式模糊测试
模糊测试往往是耗时费力的漏洞查找方式,效果也很难令人满意。我们曾经接到一个任务入侵一家公司,所以我从一个相对简单的地方开始——它的员工登录页面。我开始“盲测”,输入“a”作为用户名,被拒绝访问。我输入了两个“a”,再次被拒绝访问。然后,我尝试输入1000个“a”,结果网站终止了会话。一分钟后,系统恢复在线,我立即再次尝试输入1000个“a”,登录门户再次离线,一个漏洞就这样被发现了。
模糊测试差不多是适用于查找所有网络漏洞的简便方法,但是对于攻击者来说,这是一种很少能单独起作用的策略。而且,如果攻击者对实时系统进行模糊测试,几乎可以肯定的是,他们会引起系统管理员的注意。我更喜欢这种所谓的“鱼叉式模糊测试”:用人类研究元素补充该过程,利用现实世界的知识来缩小攻击面并确定攻击点可以节省大量时间。
防御者一直专注于给攻击者的入侵增加难度,但黑客根本不像防御者那样思考。黑客受制于个人的时间和精力成本,但不受企业政策或工具的约束。
对于企业而言,养成黑客思维,并找到导致目标吸引黑客的原因是进攻性防御的第一步。首先了解被盗资产的潜在影响以及其被入侵的可能性。这能聚焦关键攻击面的防御注意力。防御者就可以有针对性地采取加固措施,并关注真正重要的漏洞。从黑客的视角观察,能使企业能够建立超越传统最佳安全实践的韧性,以建立分层的纵深防御策略,阻止那些最有毅力的黑客。
相关阅读漏洞也是艺术品?NFT面临安全危机下载超过10亿次的茄子快传(SHAREit)修复安全漏洞
黑客利用网络安全公司设备漏洞入侵上百家企业
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
企业安全团队与黑客和网络犯罪分子之间的攻防战斗是不对等的,虽然蓝队与红队使用的工具、框架和技术趋于透明和重叠,但是思维方式却依然有很大的差异。
攻击者不是研究人员,他们总是会寻求阻力最小的路径来达成目标:
以最少的访问权限达成目标尽量掩盖痕迹使用最少的漏洞
一旦确定了高回报的可利用资产,攻击者便会利用各种技术和方法来发现漏洞。有些技术和方法可以使攻击者更快地得手,而有些则需要更多时间。
查找和利用漏洞可能要花费几个小时到几个月甚至更长的时间。有些攻击者使用久经考验的方法,但其中一些最具创造力的黑客找到了通过意外媒介来入侵系统的方法。企业安全团队必须了解攻击面的哪些部分最容易吸引对手,以便制定有效的防御策略。
Randori联合创始人兼CTO David Wolpoff分享了四个鲜为人知的黑客搜寻漏洞的攻击方法,这些攻击者视角的对漏洞寻找方法有助于防御者完善和优化其防御能力,具体如下:
01从已知漏洞入手
就像安全团队面临警报疲劳一样,攻击者也面临着漏洞信息的过载,只有一小部分漏洞信息对他们的行动目的很重要。
攻击者可以将漏洞与目标进行交叉检查作为起点,但是高危漏洞(CVE)并不总是富有成效(这些漏洞是众所周知的,并且可能会受到安全团队的良好监视)。
但是,已知的CVE是发现隐藏在代码中的类似错误的绝佳起点。例如在软件开发周期中,企业中部署的代码可能会被重复使用和回收,从而可以让攻击者渗透到该环境中。如果您为当前正在开发的代码(而不是其他版本)修补了一个漏洞,则其他版本的代码中依然会存在很多漏洞。对于攻击者来说,一个比较容易的做法是审计开源代码来查找漏洞和进入企业网络的捷径。
02“此地无银”的代码注释
源代码对于攻击者来说就像是一张藏宝图。在一个软件开发周期中,开发者为彼此留下的代码问题注释在攻击者眼里就是唾手可得的果实。在开发软件时,开发人员会遍历代码并标记已知的错误区域。但是开发进展迅速,可能无法及时解决这些问题。
当攻击者在开发人员的代码中找到“FIXME”(需修复)或“RBF”(解决后立即删除)之类的标签时,内心想必是狂喜的。像这样的标签将靶心放在来潜在可利用的、未修补的漏洞上。我曾经在标有“FIXME:此处可能发生缓冲区溢出的函数中发现错误,未经修改请勿使用。”而事实是,很多问题代码就是“未经修改”就进入了生产环境,攻击者可以轻松地利用该漏洞。
03支持论坛中的求助信号
有一次,在寻找可以在目标周围进行攻击的入口时,我的团队注意到该公司正在测试一种新设备。该公司的IT团队在一个通用支持论坛中用公司的电子邮件地址发布了几个问题。暴露的资产似乎很容易被入侵。通过Google快速搜索,我们确定该设备是一家知名电话设备制造商的昂贵产品。我们在支持论坛上进行了挖掘,发现了在线发布的固件更新的一部分,其中包含三个错误。
在该案例中,URL路径解析功能中存在一个错误,该错误使我们可以绕过身份验证。另一个错误让我们无需系统管理员即可到达代码路径,从而使我们能够上传和下载文件。最后一个是任意文件泄漏错误,它使我们可以读取应用程序文件系统中的每个文件。这些漏洞利用都是公开可用的信息,其中每个信息都是通往下一个漏洞的关键。攻击者喜欢追踪您的团队成员在外网的足迹,查找可能导致利用漏洞的蛛丝马迹。
04鱼叉式模糊测试
模糊测试往往是耗时费力的漏洞查找方式,效果也很难令人满意。我们曾经接到一个任务入侵一家公司,所以我从一个相对简单的地方开始——它的员工登录页面。我开始“盲测”,输入“a”作为用户名,被拒绝访问。我输入了两个“a”,再次被拒绝访问。然后,我尝试输入1000个“a”,结果网站终止了会话。一分钟后,系统恢复在线,我立即再次尝试输入1000个“a”,登录门户再次离线,一个漏洞就这样被发现了。
模糊测试差不多是适用于查找所有网络漏洞的简便方法,但是对于攻击者来说,这是一种很少能单独起作用的策略。而且,如果攻击者对实时系统进行模糊测试,几乎可以肯定的是,他们会引起系统管理员的注意。我更喜欢这种所谓的“鱼叉式模糊测试”:用人类研究元素补充该过程,利用现实世界的知识来缩小攻击面并确定攻击点可以节省大量时间。
防御者一直专注于给攻击者的入侵增加难度,但黑客根本不像防御者那样思考。黑客受制于个人的时间和精力成本,但不受企业政策或工具的约束。
对于企业而言,养成黑客思维,并找到导致目标吸引黑客的原因是进攻性防御的第一步。首先了解被盗资产的潜在影响以及其被入侵的可能性。这能聚焦关键攻击面的防御注意力。防御者就可以有针对性地采取加固措施,并关注真正重要的漏洞。从黑客的视角观察,能使企业能够建立超越传统最佳安全实践的韧性,以建立分层的纵深防御策略,阻止那些最有毅力的黑客。
相关阅读漏洞也是艺术品?NFT面临安全危机下载超过10亿次的茄子快传(SHAREit)修复安全漏洞
黑客利用网络安全公司设备漏洞入侵上百家企业
合作微信:aqniu001
投稿邮箱:editor@aqniu.com
科技
-
-
- 黑客思维:寻找安全漏洞的四种创新方法
- 企业安全团队与黑客和网络犯罪分子之间的攻防战斗是不对等的,虽然蓝队与红队使用的工具、框架和技术趋于透明和重叠,但是思维方式却依然有很大的差异。攻击者不是研究人员,他们总是会寻求阻力最小的路径来达成...
- 安全牛
-
-
-
- 让数据精准“勘测”世界,中安云服智能助跑行业“周界防护”
- 作者|沉舟来源|创头条随着市场需求进一步扩大,科学技术的发展推动,各种周界探测技术不断出现,各种入侵探测报警系统融入到安防领域,“周界防范”成为安防领域的重要组成部分。 “对入侵物体的类型感知,对...
- 创投精选
-
-
-
- 刚刚!长沙市教育局发布最新规定!
- 为规范教育App的应用和管理,刚刚,记者获悉,长沙市教育局规定自主研发的教育App不得收取任何费用,选用的其他App对于成绩、评语等基础功能不得收费,收费功能必须公开透明、自愿选择,且不得与评优挂钩。“互...
- 湖南交通频道
-
-
-
- 揭秘高功率高亮度蓝光激光器的三要素
- 随着科技发展,激光技术的创新要求变得越来越高,越来越多的轻量化装备对材料应用提出了新的需求,传统铁基材料已无法胜任,高反材料铜等渐渐登上舞台,而这对激光焊接技术也提出了新的要求。传统激光器在焊接高...
- OFweek激光
-
-
-
- 余承东华为云首秀,2.2亿美元示好开发者
- 经历了一系列的调整后,华为两大明星管理者挂帅云业务背后的逻辑是什么?在消费者业务受阻的大背景下,云业务又将怎样担负起历史使命?文|《中国企业家》记者 刘哲铭编辑|李薇图片来源|被访者4月25日,在华为...
- 中国企业家杂志
-
-
-
- [报告]车展特辑:新技术发展趋势分析(附18页PDF文件下载)
- 4月19日至4月28日,第十九届上海国际汽车工业展览会将在国家会展中心(上海)举办,本届车展以“拥抱变化”为主题,各个主机厂在本次车展发布新车型中将有哪些新技术的应用?将发布哪些黑科技?本报告将带你解读...
- 汽车之地
-
-
-
- [专访]竹间智能简仁贤:以「竹间云」Cloud AI让企业更智能
- 文 | 动点科技作者 | 黄尘日常生活离不开语言,自然语言作为一种最直接和简单的表达工具无处不在,而微软创始人比尔·盖茨曾经表示,“语言理解是人工智能领域皇冠上的明珠”。自然语言处理(NLP)让人与计算机...
- 动点科技
-
-
-
- 一辆名字里有「华为」的车,你会买吗?
- 今年的上海车展期间,最引入瞩目的,除了再次登上车顶的特斯拉事故车主,还有一直坚称「不造车」的华为。4月15日,一段极狐阿尔法 S 华为HI版路测视频「刷爆」社交媒体。视频中,这台搭载了华为 ADS(Autonomous...
- 电动邦
-
-
-
- 本周大新闻|Magic Leap 2四季度发布,三星推出官方AR创作应用
- hi188|编辑本周大新闻,AR方面,Magic Leap宣布今年四季度推出下一代AR眼镜;宜家推出全屋AR家装应用;三星推出一款官方LBS AR创作应用;谷歌搜索AR模型上线一系列日本动漫IP;苹果发布AirTag,支持近距离AR定...
- 青亭网
-
-
-
- 华为又有重磅消息!砸重金布局这个领域……
- 权威、深度、实用的财经资讯都在这里“传统数据中心会消失,全球企业全面云化已不可阻挡,云是ICT产业的未来,也是企业数字化转型的底座。”作为华为面向全球开发者的年度盛会,华为开发者大会2021(Cloud)在深...
- 上海证券报
-
-
-
- “低代码”革了谁的命?
- 作者:流水不争先 编辑:Emma来源| 技术领导力(ID:jishulingdaoli)在我写过两篇“低代码”、“零代码”科普文,以及一篇介绍“低代码和零代码的区别”文章后,老K对我说:“我们来深挖低(零)代码的why吧,去...
- 人称T客
-
-
-
- MacBook设计图外泄,勒索团伙曾索要5000万美元天价赎金!
- 整理 | Carol出品 | CSDN(ID:CSDNnews)北京时间 4 月 21 日凌晨11点,苹果公司举行了2021春季发布会。但大家不知道,在这场万众瞩目的发布会背后,苹果公司被一个勒索软件盯上了。这个勒索软件集团名为REvil...
- CSDN
-
-
-
- 重装系统前,如何备份和恢复 Wi-Fi 密码?
- 于是青小蛙去研究了一番,发现在微软的官方论坛,有人提问:Win 10 能不能备份 WiFi? 来自微软的审阅人 @Joseph-Gu 给出了一个简单的方法,可以用来备份与恢复 Wi-Fi 密码。备份与恢复 Wi-Fi 密码@Joseph-G
- 小众软件
-
-
-
- 99%的人都知道5G,但了解5G的却不到1%??
- 2020年,中国5G基础设施逐渐完善,在新冠疫情的刺激下,数字产业在振兴实体经济上站到了更重要的位置,各行各业开始思考如何在接下来的业务发展中利用5G技术带动新一轮增长。我相信,大部分人对5G的认知,还停留...
- 通信圈
-
-
-
- 教育信息化进入数字时代,华为智慧教室构筑未来课堂新图景
- 数字技术突飞猛进,带动着千行百业的数字化转型。作为数字化应用前沿阵地之一的教育行业,在转型的进程中有着怎样的深层次诉求?将目光聚焦到人们最直观感知教育脉搏的课堂场景,我们可以看到,在如今的广大课堂...
- 壹观察
-