干貨 | 對滲透新人的建議

一、對滲透新人成長的建議

1. 挖洞一定要去實戰，不能只在漏洞環境復現漏洞，實戰和環境是不一樣的。實戰環境的選擇：
2. 漏洞盒子：新人建議首先去尋找漏洞和挖洞，漏洞盒子接受大多數互聯網漏洞，無論該單位是否在盒子上面注冊過，漏洞審核相對容易通過。
3. 補天：分為公益SRC和專屬SRC，補天的審核較為嚴格，且通常只接受在補天注冊的廠商的漏洞好大中型廠商漏洞，其他小站漏洞通常審核不通過。再熟悉漏洞盒子挖洞后，建議去補天挖洞，先挖公益SRC，再去挖專屬SRC(給現金獎勵)
4. 各大互聯網SRC，能夠在補天專屬SRC挖洞，基本可以去各個互聯網SRC挖洞了，無論大小廠的SRC都可以嘗試。
5. 掌握利用簡單、危害高的邏輯漏洞 常見的簡單高危漏洞，提交漏洞要制造出高傷害：
6. 競爭條件漏洞（并發抽獎、領取、提現等）
7. 水平越權：當一個公司用戶量越大，越權造成的用戶數據泄露越多，對甲方的危害極大。注意提交漏洞時，可以遍歷一下泄露用戶數量的上線，有時候一個簡單的越權，泄露幾百萬用戶信息，但切不可拖數據(犯罪)，遍歷統計上限和樣本即可。
8. 各種刷量的邏輯漏洞：例如電商的搶優惠卷，社區的刷點贊、人氣、視頻的刷播放量等。
9. 測試邏輯漏洞是，注意Response返回包中的信息，有些Response返回包的參數被篡改后，會進入下一步邏輯流程，并使用被篡改的參數在下一步流程提交。
10. 學習前端跨域漏洞：JSONP劫持、CORS、CSP等 面試過不少年輕的白帽子，不熟悉前端跨域漏洞。在不少互聯網公司JSONP劫持是常見的漏洞，建議大家要學會前端漏洞挖掘和基礎知識。
11. 提交漏洞要做出高危害 幾個例子：
12. SSRF:內網應用越多，危害越大。提交漏洞不要只掃描一下內網訪問多個系統就提交了，建議拿下一個內網應用的權限，內網應用通常漏洞多，弱口令多，造成高危害后提交。
13. 水平越權:上面說過了，遍歷出影響的用戶量，如造成用戶數據泄露或篡改，遍歷泄露的用戶數據量、可篡改量。
14. XSS:能打到幾個賬號的Cookie并登錄最好，或接收到后臺的cookie登錄后臺，將漏洞盡可能升級其影響范圍。
15. 其他漏洞類似，盡可能做出高危害和對業務的影響。
16. 要多挖APP漏洞，移動互聯網時代，很多互聯網公司90%以上的流量在APP端。
17. 滲透人員要學會代碼層如果修復漏洞，盡量細化到用哪個函數（會攻擊也會防御） 例如：指導研發修復要細化到修復漏洞的函數和示例代碼，后端用函數，前端過濾為了減少后端服務器的計算壓力。
18. 代碼層如何修復xss漏洞：后端：在html輸出用哪個函數過濾，在JavaScript中輸出，用哪個函數過濾等；前端對輸入做哪些過濾。
19. 代碼層如何修復SQL注入漏洞：后端PHP代碼用哪個函數，JAVA代碼怎么做。前端對用戶輸入做哪些過濾。
20. 水平越權的修復：校驗用戶Session，不能只校驗uid等等。
21. 其他漏洞修復類似，不要只提一句話修復文字，最好能夠細化到代碼層的實現，或者邏輯的設計，針對邏輯漏洞，說明邏輯，或者能畫出邏輯流程圖和文字更好，方便產品經理和開發理解。

二、安全人員要熟悉公司業務

甲方安全人員必須知道公司是怎么賺錢的、怎么贏利的，這樣才能夠知道直接影響公司利益的業務系統、部門人員，知道這些才是重要的，提交漏洞要優先和能夠贏利的業務掛鉤，這樣安全需求和修復漏洞更能夠受到重視。可惜不少甲方安全工程師，不熟悉公司業務，不知道公司利潤的來源，支持業務的生產系統和各個部門人員。

三、熟悉滲透之后的4個技術方向

熟悉滲透之后的4個技術方向：安全開發、Android逆向、安全產品運維、業務風控。建議：優先安全開發和Android逆向。

當熟悉滲透之后，比較容易上手的兩個技術方向是：安全開發、Android逆向。建議滲透人員不能只會挖Web漏洞，熟悉之后，學習Python開發、PHP開發（含代碼審計）。也可以學Android逆向，能夠逆向、修改、分析Android APP。做到：滲透+安全開發，或者 滲透+Android逆向。

安全運維和業務風控（風控引擎、大數據、AI、機器學習、黑灰產羊毛黨對抗等）這些需要有生產環境才能夠實戰，建議工作之后找機會學習。在有足夠的用戶量、流量、黑灰產對抗環境中，才能夠實戰成長。