【SOAR】更新公告以及第三方應用漏洞檢測（二）-- Alibaba Druid監控面板

0x00 前言

本文中SOAR代指火器中提供的策略集功能，屬于無代碼掃描器，是一款功能強大的安全檢測工具，是安全檢測于SOAR(Security Orchestration, Automation and Response)可視化編排結合的一次嘗試。

? 更多信息請查看歷史文章^[1]。

? 使用過程任何的問題和建議可以在Zone的SOAR標簽^[2]中發帖子進行反饋。有反饋必定會回復，如果長時間沒回弟弟把自己的查克拉分給你。（快來掙弟弟的查克拉吧！

0x01 更新

1.新上架策略：

? 云存儲桶配置錯誤

? log.txt文件檢測

? Coremail 配置信息 CNVD-2019-16798

? Alibaba druid監控面板

? composer配置文件泄漏

? .git源代碼泄漏

? .svn源代碼泄漏場景

? 異常信息

? graphql

? package-lock.json泄漏

2.功能相關

? 優化相關性能問題。

? 由于內測版SOAR資源有限，為不影響任務正常運行，對PoC掃描等應用的payload數量進行限制，暫時設為最大為1000。（有師傅上傳了17w的字典，弟弟跑不動了....）

3.體驗相關：

? URL數據源、POC掃描等應用編輯時的更友好的編輯體驗。

? 線索列表頁可按項目名稱、策略名稱、關聯目標進行搜索。

? 批量處置線索。

? 日志輸出調整為按時間順序輸出。

? 等等

本次更新的策略更多是第三方應用相關的檢測，下周會上架參數級別的漏洞檢測策略。

0x02 第三方應用檢測

本文介紹使用SOAR進行檢測最常規的第三方應用檢測的方法，此處以檢測未授權訪問Alibaba Druid監控面板為例。

Druid內置提供了一個StatViewServlet用于展示Druid的統計信息。將Druid的Filter攔截器模塊處理的情況可視化的展示在界面上，包括應用信息、數據源、SQL執行、SQL防火墻、Web應用、URL監控、Session監控、Spring監控以及提供可外部調用的JSON API

該漏洞的嚴重程度取決于頁面泄漏的信息敏感程度，只要好好利用一下，就能像這位師傅一樣：

下面介紹使用SOAR進行自動化檢測。本文涉及到的應用為：【開始】、【URL數據源】、【PoC掃描】、【生成線索】、【結束】。

概覽

此流程圖指明了SOAR掃描器的執行路徑。檢測思路分兩個方向：一是依賴于火器收集的URL數據，若URL數據收集的網頁里面已經包含了Druid監控頁面，直接按條件進行搜索就可以得到線索；二是有可能火器URL數據沒收集到相應的頁面，那么我們自己進行構建請求包進行檢測。

接下來將對各應用按執行順序進行一一介紹。

直接搜索

執行路徑：開始 #1 -> URL數據源 #9->生成線索 #4->結束 #2

根據Druid監控頁面的特征，按照以下規則對URL數據源進行搜索：

構造PoC進行驗證

由于火器URL數據有可能會沒收集到相應的頁面，為了保證更全面的檢測，我們還可以通過拿到所有的網站，對這些網站請求默認的Druid監控頁面的路徑，來檢測是否存在頁面泄漏。執行路徑：開始 #1 -> URL數據源 #10->PoC掃描 #8->生成線索 #4->結束 #2

URL數據源#10拿到所有的網站：（通過搜索請求方法為GET的URL，然后去重策略選擇協議+主機名，就可以拿到所有的網站，而且不會重復。當然此處不是非要請求方法為GET，其他能達到一樣效果的條件都可。）

PoC掃描 #8進行構造請求，訪問Druid的默認路徑：

路徑為/druid/index.html，請求體為空，請求頭若留空，SOAR在發包時會默認增加一些必要的Header頭。最后，別忘了設置匹配規則：

以上就是完整的檢測策略的實現。

0x03 結語

SOAR仍在內測階段，參與內測可掃描Soar 可視化掃描器內測申請啦^[3]中的二維碼進行申請。

申請通過之后，在火線平臺中的

火器

頁面將會多出

策略集

頁面，希望各位師傅試用體驗，并一起共同進步。

References

[1] 歷史文章: https://zone.huoxian.cn/t/Soar-visual-scanner

[2] SOAR標簽: https://zone.huoxian.cn/t/Soar-visual-scanner

[3] Soar 可視化掃描器內測申請啦: https://zone.huoxian.cn/d/132-soar