互联网上有大量自动化漏洞扫描器在运行,不断探测互联网空间的安全漏洞,其中不乏黑灰产等违法犯罪活动,当然也有大量白帽子探测漏洞,获得赏金,然而,常规的安全防御系统,比如 waf 之类的系统,针对漏洞探测,采取拒绝访问的策略,只要匹配到恶意攻击的请求,通过拦截请求或者封禁 IP 的方式进,对于攻击者而言,漏洞是否存在,通过结果就能判断,漏洞扫描器的准确率是比较高的。
当防御者使用迎合扫描器的模式,对于扫描器的请求,通过分析后,返回让扫描器认为漏洞存在的内容时,扫描器会产出大量的漏洞报告,这个时候,攻击者就开始头疼了,哪个漏洞是真实存在的?还需要进一步进行漏洞复现和确认,大大的增加攻击者的时间成本,这种方式也相当于增加扫描器的误报率,从而提升防御效果。
近日,小白帽在挖洞的时候,正好遇到了这样的防御措施,所以就马不停蹄的为大家做做分享,采用的扫描器是 xray,长亭科技出品的漏洞扫描工具,针对 SQL 注入的漏洞探测准确率是比较高的,误报也比较少,在看漏洞报告的时候,发现某个接口存在漏洞,如图:
这个时候,小白帽兴高采烈的掏出 burp 进行漏洞复现,发现请求结果与漏洞扫描的结果并不相同,结果如图:
这是真么回事?小白帽愣住了,明明漏洞存在,怎么就无法复现,思考一会后,想着看看目标是否有啥防御措施,先去看了下域名的解析记录,如图:
发现域名的 CNAME 解析到了阿里巴巴的域名,该域名访问后会跳转到淘宝的页面,猜测该服务的防御是阿里的防御策略了。
目前这种防御手段,用到的企业还不多,如果有一天普及后,自动化漏洞扫描的效果就要大打折扣了,一百个 POC 打出来一百个漏洞,这不就跟没扫的效果一样吗?你认为呢?
文库目录:
https://wiki.xazlsec.com/static/forder.html