黑客思维：寻找安全漏洞的四种创新方法

3423411614c

企业安全团队与黑客和网络犯罪分子之间的攻防战斗是不对等的，虽然蓝队与红队使用的工具、框架和技术趋于透明和重叠，但是思维方式却依然有很大的差异。

攻击者不是研究人员，他们总是会寻求阻力最小的路径来达成目标：

以最少的访问权限达成目标

尽量掩盖痕迹

使用最少的漏洞

一旦确定了高回报的可利用资产，攻击者便会利用各种技术和方法来发现漏洞。有些技术和方法可以使攻击者更快地得手，而有些则需要更多时间。

查找和利用漏洞可能要花费几个小时到几个月甚至更长的时间。有些攻击者使用久经考验的方法，但其中一些最具创造力的黑客找到了通过意外媒介来入侵系统的方法。企业安全团队必须了解攻击面的哪些部分最容易吸引对手，以便制定有效的防御策略。

Randori联合创始人兼CTO David Wolpoff分享了四个鲜为人知的黑客搜寻漏洞的攻击方法，这些攻击者视角的对漏洞寻找方法有助于防御者完善和优化其防御能力，具体如下：

1. 从已知漏洞入手
就像安全团队面临警报疲劳一样，攻击者也面临着漏洞信息的过载，只有一小部分漏洞信息对他们的行动目的很重要。

攻击者可以将漏洞与目标进行交叉检查作为起点，但是高危漏洞(CVE)并不总是富有成效(这些漏洞是众所周知的，并且可能会受到安全团队的良好监视)。

但是，已知的CVE是发现隐藏在代码中的类似错误的绝佳起点。例如在软件开发周期中，企业中部署的代码可能会被重复使用和回收，从而可以让攻击者渗透到该环境中。如果您为当前正在开发的代码(而不是其他版本)修补了一个漏洞，则其他版本的代码中依然会存在很多漏洞。对于攻击者来说，一个比较容易的做法是审计开源代码来查找漏洞和进入企业网络的捷径。

2. “此地无银”的代码注释
源代码对于攻击者来说就像是一张藏宝图。在一个软件开发周期中，开发者为彼此留下的代码问题注释在攻击者眼里就是唾手可得的果实。在开发软件时，开发人员会遍历代码并标记已知的错误区域。但是开发进展迅速，可能无法及时解决这些问题。

当攻击者在开发人员的代码中找到“FIXME”(需修复)或“RBF”(解决后立即删除)之类的标签时，内心想必是狂喜的。像这样的标签将靶心放在来潜在可利用的、未修补的漏洞上。我曾经在标有“FIXME：此处可能发生缓冲区溢出的函数中发现错误，未经修改请勿使用。”而事实是，很多问题代码就是“未经修改”就进入了生产环境，攻击者可以轻松地利用该漏洞。

3. 支持论坛中的求助信号
有一次，在寻找可以在目标周围进行攻击的入口时，我的团队注意到该公司正在测试一种新设备。该公司的IT团队在一个通用支持论坛中用公司的电子邮件地址发布了几个问题。暴露的资产似乎很容易被入侵。通过Google快速搜索，我们确定该设备是一家知名电话设备制造商的昂贵产品。我们在支持论坛上进行了挖掘，发现了在线发布的固件更新的一部分，其中包含三个错误。

在该案例中，URL路径解析功能中存在一个错误，该错误使我们可以绕过身份验证。另一个错误让我们无需系统管理员即可到达代码路径，从而使我们能够上传和下载文件。最后一个是任意文件泄漏错误，它使我们可以读取应用程序文件系统中的每个文件。这些漏洞利用都是公开可用的信息，其中每个信息都是通往下一个漏洞的关键。攻击者喜欢追踪您的团队成员在外网的足迹，查找可能导致利用漏洞的蛛丝马迹。

4. 鱼叉式模糊测试
模糊测试往往是耗时费力的漏洞查找方式，效果也很难令人满意。我们曾经接到一个任务入侵一家公司，所以我从一个相对简单的地方开始——它的员工登录页面。我开始“盲测”，输入“a”作为用户名，被拒绝访问。我输入了两个“a”，再次被拒绝访问。然后，我尝试输入1000个“a”，结果网站终止了会话。一分钟后，系统恢复在线，我立即再次尝试输入1000个“a”，登录门户再次离线，一个漏洞就这样被发现了。

模糊测试差不多是适用于查找所有网络漏洞的简便方法，但是对于攻击者来说，这是一种很少能单独起作用的策略。而且，如果攻击者对实时系统进行模糊测试，几乎可以肯定的是，他们会引起系统管理员的注意。我更喜欢这种所谓的“鱼叉式模糊测试”：用人类研究元素补充该过程，利用现实世界的知识来缩小攻击面并确定攻击点可以节省大量时间。

防御者一直专注于给攻击者的入侵增加难度，但黑客根本不像防御者那样思考。黑客受制于个人的时间和精力成本，但不受企业政策或工具的约束。

对于企业而言，养成黑客思维，并找到导致目标吸引黑客的原因是进攻性防御的第一步。首先了解被盗资产的潜在影响以及其被入侵的可能性。这能聚焦关键攻击面的防御注意力。防御者就可以有针对性地采取加固措施，并关注真正重要的漏洞。从黑客的视角观察，能使企业能够建立超越传统最佳安全实践的韧性，以建立分层的纵深防御策略，阻止那些最有毅力的黑客。