關(guān)于黑盒測(cè)試中的業(yè)務(wù)功能安全測(cè)試，個(gè)如果說你是去做那種性比較強(qiáng)的這一種業(yè)務(wù)，比如說咱們的這一個(gè)銀行類的金融類的這些業(yè)務(wù)，那么它可能個(gè)要求就是你要有這個(gè)什么業(yè)務(wù)能力。 因?yàn)橛袝r(shí)候一些復(fù)雜的業(yè)務(wù)的話，并不是說如果說以前你沒做的話，他可能就光這個(gè)業(yè)務(wù)的培訓(xùn)那就要給你來個(gè)三個(gè)月或甚至半年的一個(gè)時(shí)間，因此說對(duì)于這一種業(yè)務(wù)能力要求比較高的這種項(xiàng)目或者企業(yè)里面去招人的話，他個(gè)看中或者說他有一個(gè)硬性的要求，就是說你有沒有做過相關(guān)的這一些產(chǎn)品，如果做過的話，這一類人員他是優(yōu)先的。
討論回顧完上次整改的問題之后，理清了思路。然后我登錄了網(wǎng)站查看一下原因，因?yàn)榫W(wǎng)站只有一個(gè)上傳圖片的地方，我進(jìn)行抓包嘗試，使用了repeater重放包之后，發(fā)現(xiàn)返回包確實(shí)沒有返回文檔上傳路徑，然后我又嘗試了各種繞過，結(jié)果都不行。后苦思冥想得不到結(jié)果，然后去問一下這個(gè)云平臺(tái)給他們提供的這個(gè)告警是什么原因?？戳嗽破脚_(tái)反饋的結(jié)果里面查殺到有圖片碼，這個(gè)問題不大，上傳文檔沒有執(zhí)行權(quán)限，而且沒有返回文檔路徑，還對(duì)文檔名做了隨機(jī)更改，但是為啥會(huì)有這個(gè)jsp上傳成功了，這讓我百思不得其解。
當(dāng)我仔細(xì)云平臺(tái)提供的發(fā)現(xiàn)webshel數(shù)據(jù)的時(shí)候，我細(xì)心的觀察到了文檔名使用了base編碼，這個(gè)我很疑惑，都做了隨機(jī)函數(shù)了還做編碼干嘛，上次測(cè)試的時(shí)候是沒有做編碼的。我突然想到了問題關(guān)鍵，然后使用burpsuite的decoder模塊，將文檔名“1jsp”做了base編碼成“MS5Kc1A=”，然后發(fā)送成功反饋狀態(tài)碼200，再不是這個(gè)上傳失敗反饋500狀態(tài)碼報(bào)錯(cuò)了。
所以，這個(gè)問題所在是，在整改過程中研發(fā)人員對(duì)這個(gè)文檔名使用了base編碼，導(dǎo)致文檔名在存儲(chǔ)過程中會(huì)使用base解析，而我上傳文檔的時(shí)候?qū)⑦@個(gè)后綴名.jsp也做了這個(gè)base編碼，在存儲(chǔ)過程中.jsp也被成功解析，研發(fā)沒有對(duì)解析之后進(jìn)行白名單限制。其實(shí)這種編碼的更改是不必要的，畢竟原來已經(jīng)做了隨機(jī)數(shù)更改了文檔名了，再做編碼有點(diǎn)畫蛇添足了，這就是為啥程序bug改一個(gè)引發(fā)更多的bug原因。

文件上傳漏洞。造成文件上傳漏洞的主要原因是應(yīng)用程序中有上傳功能，但上傳的文件沒有通過嚴(yán)格的合法性檢查或者檢查功能有缺陷，導(dǎo)致木馬文件上傳到服務(wù)器。文件上傳漏洞危害大，因?yàn)閻阂獯a可以直接上傳到服務(wù)器，可能造成服務(wù)器網(wǎng)頁修改、網(wǎng)站暫停、服務(wù)器遠(yuǎn)程控制、后門安裝等嚴(yán)重后果。文件上傳的漏洞主要是通過前端JS旁路、文件名旁路和Content-Type旁路上傳惡意代碼。

早上，我突然被客戶告知，他部署在云平臺(tái)的服務(wù)器被檢測(cè)到webshell，已經(jīng)查殺了，而且云平臺(tái)檢測(cè)到這個(gè)ip是屬于我公司的，以為是我們公司做了測(cè)試導(dǎo)致的，問我這個(gè)怎么上傳的webshell，我當(dāng)時(shí)也是一臉懵逼，我記得很清楚這是我的項(xiàng)目，是我親自測(cè)試的，上傳點(diǎn)不會(huì)有遺漏的，然后開始了我的排查隱患工作。
巡檢查殺首先，我明白自己要做的不是找到這個(gè)上傳的位置是哪里出現(xiàn)的，我應(yīng)該登上服務(wù)器進(jìn)行webshel查殺，進(jìn)行巡檢，找找看是否被別人入侵了，是否存在后門等等情況。雖然報(bào)的是我們公司的ip，萬一漏掉了幾個(gè)webshell，被別人上傳成功了沒檢測(cè)出來，那服務(wù)器被入侵了如何能行。所以我上去巡檢了服務(wù)器，上傳這個(gè)webshell查殺工具進(jìn)行查殺，使用netstat-anpt和iptables-L判斷是否存在后門建立，查看是否有程序占用CPU，等等，此處不詳細(xì)展開了。萬幸的是服務(wù)器沒有被入侵，然后我開始著手思考這個(gè)上傳點(diǎn)是怎么回事。
文檔上傳漏洞回顧首先，我向這個(gè)和我對(duì)接的研發(fā)人員咨詢這個(gè)服務(wù)器對(duì)外開放的，要了之后打開發(fā)現(xiàn)，眼熟的不就是前不久自己測(cè)試的嗎？此時(shí)，我感覺有點(diǎn)懵逼，和開發(fā)人員對(duì)質(zhì)起這個(gè)整改信息，上次測(cè)試完發(fā)現(xiàn)這個(gè)上傳的地方是使用了白名單限制，只允許上傳jpeg、png等圖片格式了。當(dāng)時(shí)我還發(fā)現(xiàn)，這個(gè)雖然上傳是做了白名單限制，也對(duì)上傳的文檔名做了隨機(jī)數(shù)，還匹配了時(shí)間規(guī)則，但是我還是在返回包發(fā)現(xiàn)了這個(gè)上傳路徑和文檔名，這個(gè)和他提議要進(jìn)行整改，不然這個(gè)會(huì)造成這個(gè)文檔包含漏洞，他和我反饋這個(gè)確實(shí)進(jìn)行整改了，沒有返回這個(gè)路徑了。

這在目前的互聯(lián)網(wǎng)環(huán)境下，很容易出現(xiàn)安全問題，比如被攻擊、被掛馬、被用戶數(shù)據(jù)等等，尤其是本身在代碼安全層面做的并不好的情況下，這種事件就更容易發(fā)生，再加上，這些中小企業(yè)普遍缺乏網(wǎng)絡(luò)安全投資和必要防護(hù)手段，抗擊打能力比較弱，一旦遭到網(wǎng)絡(luò)攻擊，蒙受巨大經(jīng)濟(jì)損失后將很難恢復(fù)元?dú)狻?br/>SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.xh798.com