安全众测下的漏洞发展新趋势P

1、安全众测下的漏洞发展新趋势技术创新，变革未来目录CONCENTS1.3.不同行业漏洞现状分析2.安全众测与漏洞变迁当前安全环境下漏洞挖掘小技巧Analysis of security vulnerability in different industries不同行业漏洞现状分析不同行业漏洞现状分析金融行业030105020604认证缺陷认证缺失在金融行业的漏 洞占比约为9.34%.应用型漏洞（代码执行、注入、XSS）常规应用型漏洞在金融行业的漏洞占比约为8.55%权限控制根据漏洞盒子后台不完全 统计权限控制在金融行业 漏洞占比为33.33%.逻辑漏洞逻辑漏洞在金融行业漏洞占比为28.22%.其

2、他其他漏洞类型在金融行业 的漏洞占比约10.33%为.信息泄露逻辑漏洞在金融行业的漏洞占比为10.23%.不同行业漏洞现状分析传统互联网企业漏洞占比统计Statistics of vulnerabilityproportion逻辑漏洞逻辑漏洞在传统互联网 企业的漏洞占比约为 11.83%注入、XSS、上传等应 用型漏洞传统应用漏洞在传统互 联网企业的漏洞占比约 为26.59%其他类型漏洞其他漏洞类型在传统互 联网企业的漏洞占比约 为12.63%权限控制缺失根据漏洞盒子后台不完 全统计权限控制缺失漏 洞在传统互联网企业漏 洞占比为23.41%.信息泄露 信息泄露漏洞在传统互联网企业的漏洞占比约为

3、12.77%.认证缺失认证确实在传统互联网 企业的漏洞占比约为12.77%.010203040506不同行业漏洞现状分析传统行业制造业权限缺失根据漏洞盒子后台 不完全漏洞权限缺 失在传统制造业的 漏洞占比为44.12%.应用型漏洞（注入、XSS漏洞等）应用型漏洞在传统制造业的漏 洞占比约占25.22%.弱口令弱口令在传统制造 业的漏洞占比约占 10.23%.信息泄露及其他逻辑漏洞信息泄露及逻辑漏洞在传 统制造业中的漏洞占比约 占20.43%.44.12%25.22%10.23%20.43%Changes of security vulnerability types in crowd test

4、ing environment安全众测与漏洞类型变迁安全众测与漏洞类型变迁来自漏洞盒子的一些有趣统计最值钱的“手艺”：SQL注入漏洞白帽子单个漏洞类型一年收入20w+.白帽子获得单个漏洞最高奖励单个漏洞奖励金额为80000 RMB.漏洞盒子白帽子地区分布统计根据漏洞盒子后台白帽子注册 数统计，白帽子占比前三的省 市分别为北京、广州、上海.白帽子在单个项目获取最高奖励白帽子在单个项目获得最高的奖励为150000 RMB安全众测与漏洞类型变迁如何保障众测风险可控项目管理角度限制1、实名登记，包括身份证、 联系方式、银行卡号等信息 2、相应的奖罚制度对于违规 者有严格的惩处措施3、记录参与项目白帽子

5、信息， 包括IP、名称、时间等。以及内置及时聊天工具可以很好的和白帽子沟通人员管理角度限制1、平台白帽子严格等级划分制度2、测试团队组建：自有测 试团队（30%）+核心白帽 子团队（70%）提供 10100测试人员，具体数 量可根据企业需求调整法律角度1、与白帽子有保密协议2、测试边界限定技术角度限制1、VPN-统一流量审计2、堡垒机-测试过程监控.安全众测与漏洞类型变迁少数测试人员漏洞成本高有限因人而异人员多样化成本可控全面覆盖效果好VS渗透测试传统测试与安全众测对比安全众测传统测试安全众测与漏洞类型变迁随着安全众测被越来越多的国内企业接收，在安全众测的推动下现阶段国内企业的网络安全现状也发

6、生着根本的变化，同时随着网络设备防护机制的不断完善导致一些安全漏洞将成为历史。传统型应用漏洞向业务逻辑型漏洞发展.开发安全导致的漏洞向引用三方框架及应用导致的漏洞发展工具扫描型漏洞向人工渗透型漏洞发展01020304单一漏洞类型向漏洞综合利用发展Tips for vulnerability mining in current security environment当前安全环境下漏洞挖掘小技巧当前安全环境下漏洞挖掘小技巧多一份执着，多一种可能在“我的”界面，点击“专业版会员”时抓包，会触发 一个数据包。接口如下：/glivec/api/init/v2该接口校验用户是否有会员权限，数据包的返回

7、包，未开通会员时如图多一项技能，多一种可能多一项技能，多一种可能由于app未加固，反编译后搜索关键字sign发现所在的源码文件里有一处SHA1加密，并且在源码里找到InitV2请求的接口发现会进行多个字段对比。猜想：用户正常支付成功后会有记录，造成了sign的改变，之后服务端会验 签判断是否被篡改。使用IDA将so文件打开后，发现存在两个加密密钥。xx.xx.xx_common_util_JniUtil_decryptionInderalKey*xxxxxxxJ*2frlJc2IOf&t9VH2IxZFxx.xx.xx_common_util_JniUtil_decryptionPostgra

8、duateKey*xxxxxxx#8vg(L(y&%K34MTCIZ通过分析上图中涉及sign的源码最后分析得出sign的生成规则如下：通过获取各个字段的数值存入Java hashmap中，之后取出数值按以下字符串组合进行SHA1得出sign。active=0&appSignKey=*xxxxxxxx*2frlJc2IOf&t9VH2IxZF&priceOriginal=9 800&priceOriginalDiscount=0&priceRenew=3000&priceRenewDiscount=0通 过 分 析 源 码 修 改 支 付 成 功 的 请 求 字 段 ， 如 下 ： activ

9、e=3&appSignKey=*xxxxxxxx*2frlJc2IOf&t9VH2IxZF&expireDate=202 0-12-1222:00:00&priceOriginal=9800&priceOriginalDiscount=0&priceRenew=3000& priceRenewDiscount=0多一项技能，多一种可能0:00,22ce96b75 success: true,message: ,results: item: active: 3,expireDate: 2020-12-12 22:0priceRenew: 3000,priceOriginal: 9800,pric

10、eRenewDiscount: 0,priceOriginalDiscount: 0, sign: “xxxxxx9d9c3845fb9de62af327 6aec0e ,errorCode: 0 当前安全环境下漏洞挖掘小技巧多一点储备，多一种可能多一点储备，多一种可能多一点储备，多一种可能vaRhino是开源的JavaScript引擎，可以在引入Rhino的jar包后，在JavaScript中使用Java的类函数，也可在Ja中调用JavaScript函数。当前安全环境下漏洞挖掘小技巧多一点信息，多一种可能多一点信息，多一种可能存在thinkphp的框架注入问题， 配合PHP弱类型，md5(数

11、组)=nullPayload:account=exp&account1=1 or 1 like 1 %23 &password=admin &verify=1639多一点信息，多一种可能多一点信息，多一种可能当前安全环境下漏洞挖掘小技巧多一点思路，多一种可能多一点思维，多一种可能多一点信息，多一种可能当前安全环境下漏洞挖掘小技巧多一份积累，多一种可能.idea/webServers.xml多一点积累，多一种可能# python3import binasciipwd = “XXXXXXXXXXXdfc0dfd9dfcedf9adf93df9adf93 decrypted = while (len

12、(pwd) 0):decrypted += chr(int(pwd:4, 16) int(dfaa, 16) pwd = pwd4:len(pwd) - 1print(decrypted)多一点信息，多一种可能当前安全环境下漏洞挖掘小技巧多一些见闻，多一种可能Step 3xxx&sign=asdfw8e89resultPayment Serverv_goodId=8597&v_number=1×tamp=110redirect:url=https:/api.xxxpay.v_amount=v_goodId*v_number message=v_amount+timestamp sal

13、t=sha(key) sign=sha(message+salt)keyStep 1 1e-shop Server2getkey=8rj434com/?v_amount=xxx& timestamp=xxx&sign= asdfw8e89Step 25 message=xxx×tamp=6客户端多一点见闻，多一种可能那些支付问题找未校验参数多一点信息，多一种可能寻当前安全环境下漏洞挖掘小技巧多一些理解，多一种可能多一点理解，多一种可能多一点信息，多一种可能当前安全环境下漏洞挖掘小技巧多一些尝试，多一种可能发现某网站 的 weblogic 弱口令：weblogic/weblogic1尝试用/bea_wls_deployment_internal/DeploymentService的反序列化漏洞进行Getshell多一些信息，多一种可能SSRF: uudiexplorer/SearchPublicRegistries.jspWeblogic SSRF漏洞允许使用url编码后的换行符，可作POST请求的转发通过1个URL: :442/_async/AsyncR