互聯網上有大量自動化漏洞掃描器在運行,不斷探測互聯網空間的安全漏洞,其中不乏黑灰產等違法犯罪活動,當然也有大量白帽子探測漏洞,獲得賞金,然而,常規的安全防御系統,比如 waf 之類的系統,針對漏洞探測,采取拒絕訪問的策略,只要匹配到惡意攻擊的請求,通過攔截請求或者封禁 IP 的方式進,對于攻擊者而言,漏洞是否存在,通過結果就能判斷,漏洞掃描器的準確率是比較高的。
當防御者使用迎合掃描器的模式,對于掃描器的請求,通過分析后,返回讓掃描器認為漏洞存在的內容時,掃描器會產出大量的漏洞報告,這個時候,攻擊者就開始頭疼了,哪個漏洞是真實存在的?還需要進一步進行漏洞復現和確認,大大的增加攻擊者的時間成本,這種方式也相當于增加掃描器的誤報率,從而提升防御效果。
近日,小白帽在挖洞的時候,正好遇到了這樣的防御措施,所以就馬不停蹄的為大家做做分享,采用的掃描器是 xray,長亭科技出品的漏洞掃描工具,針對 SQL 注入的漏洞探測準確率是比較高的,誤報也比較少,在看漏洞報告的時候,發現某個接口存在漏洞,如圖:
這個時候,小白帽興高采烈的掏出 burp 進行漏洞復現,發現請求結果與漏洞掃描的結果并不相同,結果如圖:
這是真么回事?小白帽愣住了,明明漏洞存在,怎么就無法復現,思考一會后,想著看看目標是否有啥防御措施,先去看了下域名的解析記錄,如圖:
發現域名的 CNAME 解析到了阿里巴巴的域名,該域名訪問后會跳轉到淘寶的頁面,猜測該服務的防御是阿里的防御策略了。
目前這種防御手段,用到的企業還不多,如果有一天普及后,自動化漏洞掃描的效果就要大打折扣了,一百個 POC 打出來一百個漏洞,這不就跟沒掃的效果一樣嗎?你認為呢?
安全牛
FreeBuf
中國信息安全
Anna艷娜
RacentYY
一顆小胡椒
一顆小胡椒
Anna艷娜
安全俠
Anna艷娜
X0_0X
