3.1 漏洞悬赏项目
在开始介绍如何挖掘网站应用程序漏洞之前,我们先来了解一下漏洞悬赏项目。我们经常被问到的问题:“我怎样才能在这些训练后继续学习?”我的建议是针对真实的应用系统。您可能整天在训练、做实验,但是如果没有真实的目标环境,您很难提升能力。
但有一点需要注意:平均而言,训练大约需要花费 3~6 个月的时间,之后您才能够持续发现漏洞。我们的建议:不要感到沮丧,与其他漏洞挖掘同行并肩前进,同时要经常挖掘旧程序的漏洞。
常见的漏洞悬赏项目是 HackerOne、BugCrowd 和 SynAck,还有很多其他的项目,这些项目可以提供 0~2 万美元甚至是更多的奖金。
我的很多学生发现,查找漏洞的过程令人望而生畏。漏洞悬赏项目需要您深入了解项目,每天花费几个小时,并且要了解如何利用“第六感”来挖掘漏洞。通常来说,漏洞挖掘一个好的起点是从无赏金漏洞悬赏项目(专业人士不会在这里看)或者像 Yahoo 这样的大型、成立时间较长的网站开始。这些类型的站点往往具有大量的网络地址空间和很多传统的服务器。正如之前的书中所提到的,渗透测试规划很重要,漏洞悬赏项目也不例外。许多项目指定了可以做什么和不可以做什么(如不能扫描、不能使用自动化工具、哪些域名可以被攻击等)。有时您很幸运,项目允许对* .company.com 开展漏洞挖掘,但有时可能只限于一个域名。
让我们以 eBay 网站为例,该网站有一个公开的漏洞悬赏项目。漏洞悬赏项目明确了指南、可以攻击的域名、有效的漏洞类型、禁止攻击的目标,以及如何报告和确认,如图 3.1 所示。
图 3.1
如何向公司报告漏洞通常与发现漏洞同等重要。我们都希望能够为公司提供尽可能详细的信息,包括漏洞类型、严重性/关键性、漏洞产生的步骤、屏幕截图,甚至是漏洞触发样本。如果您需要创建完善的报告,请查看报告生成表单,如图 3.2 所示。
图 3.2
在运行自己开发的漏洞利用程序之前,对于漏洞悬赏项目,有一点需要注意的是,我看到在一些案例中,研究人员在发现漏洞后,后续操作已不局限于验证漏洞。
举例说明,在找到 SQL 注入漏洞后,转储整个数据库,在接管子域名后用个人认为有趣的内容修改页面,甚至执行远程代码漏洞后,在生产环境中横向渗透。上述行为都有可能导致法律纠纷,并可能让联邦调查人员出现在您的家门口。因此,请您做出最理智的判断,确定项目的范围,并记住如果感觉想要做的事是违法的,那么它很可能就是违法的。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论