漏洞与数据的奇点临近 www.tass.com.cn  @sm0nk  猎户攻防实验室  特长：WEB攻防、攻击建模、关联分析 www.tass.com.cn   人类发展及人工智能将有一拐点——奇点 漏洞和数据的奇点定义了攻击者和防御者之间的结 合点 ◦ 漏洞的规律特征提供了防御结合点的理论支撑 ◦ 数据元的关联分析提供攻击与防御的方法模型  本议题从漏洞规律入手，寻找防御的关键点，然后 依据关联分析去定位分析，例如攻击的自动化、防 御的追踪溯源，均落地于漏洞与数据的奇点。 www.tass.com.cn 1 漏洞规律特征分析与防御 2 关联分析与模型 3 规律演变攻击与防御 4 防御趋势分析-Waf点 5 www.tass.com.cn 漏洞名称 原理概述 加固方法 注入漏洞 携参拼接、构造语句、执行 预编译、过滤 跨站脚本 注入恶意指令代码到网页 过滤（黑白名单）、 httponly 文件上传 配置、编辑器、过滤绕过、特性 综合+过滤（白名单、服务 端） 文件包含 LFI RFI ,传入文件名校验不足或被绕过 （截断） 输入强校验、位置指定 代码执行 危险函数的执行 脚本应用、参数过滤 请求伪造 错把“经过认证的浏览器发起的请求”当 Referer token 验证码 成“经过认证的用户发起的请求” 越权访问 未严格权限判断 一切输入都是有害的 会话权限校验 防御：过滤频率最高 WAF www.tass.com.cn 漏洞名称 分类概述 加固方法 身份认证 Pwd、Session 、Token、Cookie 强校验 业务一致性 身份对应 权限绑定 业务数据 金额、数量校验 校验、加密、逻辑判断 输入交互 WEB、二次引用、Fuzz 定向、逻辑判断 密码找回 弱凭证、逻辑步骤及判断 Token(匹配) 验证码 猜解、绕过、回显 强化凭证、逻辑判断 业务授权 未授权、越权 权限绑定 业务接口 接口调用（网关、内容） 逻辑限制 原理高频Tips: 认证、会话、控制 加固高频Tips: 逻辑、校验 www.tass.com.cn Web攻击产生的根源是由于程序引用恶意的输入流导致程序内部执行解析而产生的行为。 WAF产品类基本都是在对输入流的控制上做防护； RASP（Runtime Application Self Protect） 则是在程序执行解析这个流程中做防护。 内部 检测 特征 识别 算法 识别 WAF 模式 匹配 代理 模式 执行 进程 RASP 处理 逻辑 特殊 调用 www.tass.com.cn     数据是防御者的核心（Des） 漏洞是攻击者的核心（Sou） 分析和归纳漏洞是为了关联分析进而定位保护数据 的策略和方法 数据与漏洞的奇点——关联分析 www.tass.com.cn     降龙十八掌&九阳神功（未知攻焉知防） 斗转星移&乾坤大挪移 北冥神功&吸星大法 特征分析（线性）&行为分析（非线性） www.tass.com.cn www.tass.com.cn 在钻石模型中，分析依赖的主要是活动线（Activity Threads）以及活动－攻 击图（Activity－Attack Graphs）。活动线和Kill-Chain紧密结合，描述了对 一个特定受害者执行的恶意活动，可以支持假设事件，也可以利用水平分组来 获得不同活动线之间的相关性。 而通过活动线和面面俱到列举攻击对手可能路径的攻击树进行叠加，不但保持 了两种图形的信息，同时更突出了攻击者的喜好，并考虑到对手的反应及替代 战术，从而得到更好的应对策略；同时也可以是正在进行的事件调查更准确， 更快的生成假设。 www.tass.com.cn www.tass.com.cn 阶段 内容 key 信息收集 关键字、配套服务、C段子域名、协议端口、目录、 弱文件、弱口令、指纹、社工、源码收集 GIT、GHDB WEBServer、Middleware Nmap、 Dic (type)、weakfile 漏洞扫描 已知漏洞的扫描；典型漏洞的验证 AWVS、Pocsuite 暴力破解 (字典积累)（字典分层）、Fuzz Htpwdscan Hydra Fenghuangscan burp 注入上传 典型漏洞 有注入看权限找管理找上传 漏洞库（看积累看经验有思路） 结合收集的信息去搞 Wooyun、 top 10、webshell、 JAVA、PHP、bypass、 SQLMAP(API)、Burp WEB前端 Js、XSS、CSRF、SSRF、蠕虫、点击劫持 Exp&bypass Platform 业务逻辑 注册、验证、Top 10；逻辑、权限 Burp Fiddler APP Getshell 内网渗透 挂代理、找密码、看数据、扫内网、翻滚吧 Socksproxy 、Chopper 、Conner、 nmap、3389 22 21.. 方法中寻找规律来完成自动化 渗透：运气+积累+思路（猥琐） www.tass.com.cn www.tass.com.cn 2亿多域名信息库 恶意样本库 黑客工具指纹库 覆盖全互联网IP信息 数据积累 黑客信息库 恶意域名库 www.tass.com.cn BIG 利用大数据对确切的 攻击行为进行分析 DATA 入侵事件的处理模型 关联分析 攻击来源 身份背景 攻击路线 攻击目的 数据损失 www.tass.com.cn www.tass.com.cn www.tass.com.cn     攻击离不开漏洞（轩辕剑）防御离不开数据（彩虹） 百分百攻击的概率 百分百防御的概率 平衡态 www.tass.com.cn    X=0 year=2045 用奇点主义解释人类的未来 用思想的力量迎接临近的挑战 www.tass.com.cn