微信号:HackerCoder

介绍:分享最前沿的黑客知识,了解黑客世界,学习黑客技术

挖洞是一门手艺

2019-03-12 09:08 黑客技术与网络安全

安全这个行业在世人面前一直披着神秘的面纱,它是一个特立独行的工种,或者称之为一门艺术。

黑客,就是传承这门艺术的艺术家。而黑客与艺术对话的途径,也许就靠挖洞这门口口相传的手艺了。

一、文化


“黑客”一词起源于20世纪50年代,大致与第一台计算机的诞生处于同一时代;中国黑客的起源就更近了,20世纪90年代,中国互联网起步的阶段。短短几十年的时间居然发展出了一个文化圈,不得不说是一个奇迹。相信任何圈内或者圈外的读者都能从脑海中蹦出几个“黑客精神”的关键词:Open,Free,Share,大大小小的影视或者文学作品也一直在宣传着这么一群神秘的人物,引人向往。然而,这种文化已经没落。

现阶段的“安全圈”已经从“精神第一”慢慢变成了“技术第一”。如果你大学学的是安全专业或者工作与安全相关的,可能常常被亲戚朋友骚扰:“会盗QQ号吗?”,“能帮我找到那个骗子的详细信息吗?”诸如此类的问题。

世人对黑客的概念逐渐模糊,包括圈内人,趋利性逐渐盛行。

无论是从事安全工作的“白帽子”,还是从事黑灰产的“黑帽子”,在经历了国内法律的健全以及生活成本的压力,逐渐变得低调,枪打出头鸟,还不如闷声发大财。所以,唯一保留下来的就是“挖洞”这门手艺。

其中,又以Web漏洞雄踞首位,据2019年HackerOne黑客报告统计,72.8%的黑客挖洞目标是网站,从后端到前端,从电脑端到手机端,从浏览器到客户,基本覆盖了Web开发的每一个环节。

同样是一段脚本,一个是构造Web,一个是破坏Web;一个是“立”,一个是“破”,达到了辩证统一,给黑客无限的想象。Web安全漏洞常常是初学者进入“安全圈”的敲门砖。

二、匠人


查了下“手艺”这个词,权威的解释是以双手与简单工具配合所产生的手工技艺和艺术,而手工工艺者被称为“匠人”。

在安全领域,最顶级的艺术品就是“0day”,手工打磨,万众瞩目,外行人看热闹,内行人看到的,十指灵动之间全都是挖洞匠人们的心血与智慧。

技术本来是无罪的,使用技术的人有的走向白道,有的走向黑道,于是便有了江湖,Web安全工程师,漏洞提交平台,白帽子,这一切正面的产物,都是为了对抗掌握同样技术的反派。

挖洞这门手艺并不好学,入门容易,精通不易。前人留下了很多工具,“模仿”是入门必须的,类比于编程入门的“hello world”。然而却没有类似的编程规范,因为挖洞靠的就是剑走偏锋的思路。

“一花一世界,一树一菩提”,每个挖洞匠人都是万中无一,都有着自己的方法论。

因为趋利性的因素,大家互相之间不可能有过多的交流,成为挖洞匠人这条路必定是曲折的。

“脚本小子”一词是对挖洞初学者的贬义称呼,但我却认为是成为“白帽子”的必经之路。使用工具挖洞无伤大雅,避免了重复造轮子的时间,现在是一个高效率的社会,你的挖洞收益必须与时间成本成正比。

我们需要掌握寻找和安装工具的步骤,才能琢磨透各种黑客系统,各种黑客命令的使用!

我们需要熟练使用前辈们开发的程序,才能明白挖洞的方法与原理!

我们需要从工具输出的漏洞报告中,甄别验证漏洞的真实存在! 

我们甚至需要从工具的排列组合中,创造出属于我们自己的工具!

工具流的终极是手工流,手工流的终极是脚本流,脚本流的终极是系统流 ……一个处于安全鄙视链最底层的Web漏洞的挖掘就需要这么多的历练,思考一下一位出类拔萃的挖洞匠人的成长需要多久,很可能穷极一生,但是值得,我们需要始终保持一颗“匠心”!

三、匠心


台上一分钟,台下十年功,相信所有IT相关的手艺的练就都需要两个秘诀:持之以恒和动手实践 。

在这个日新月异,推陈出新的网络世界里,传统的挖洞手艺受到了强烈的冲击,甚至有些技巧只能在教科书里面还能看到它的存在。

但是,这并不是忘记初心的借口,传统手艺的思路永远不会过时,万变不离其宗,我们需要精益求精,而不是推倒重来。比如“注入”的思路,对象一直在更新,从命令注入,到SQL注入,再到前端的JS注入(XSS);方法也一直在更新,从回显注入,到盲注,再到WafBypass注入。“注入”思路的掌握如同打怪升级,一步一个脚印。

“黑客精神”也许已经演变成了“匠心精神”。就我个人的经验来说,“纸上得来终觉浅,绝知此事要躬行”,作为工作在生产第一线的挖洞匠人,需要经历失败,更需要积累。

在自己学习过程中遇到瓶颈的时候,也许需要被漏洞平台忽略过10个以上的漏洞才能成功通过1个漏洞,也许需要熟练使用20个工具才能手工挖洞,也许需要挖掘50个以上的低危漏洞才能看到高危漏洞的希望,也许需要手工挖掘100个以上高危漏洞才能看到0day的影子……

四、传承


手艺需要传承,传承就需要传承者。现在的挖洞平台林立,挖洞处于僧少粥多这么一个尴尬的局面。一个高奖励漏洞常常让人热血沸腾,激情过后,似乎又高山仰止,心如止水。

业内开始关注这个问题,学术界平台的教学失衡必须由工业界的实战来弥补,各种CTF比赛,挖洞比赛,各种线上培训,线下培训开始出现。

让人欣慰的是,一大批对安全感兴趣的后起之秀在这些赛事和培训中崛起。如果按照以前的排行,这波后起之秀应该属于中国“第四代黑客”,前三代都是2010年之前崭露头角的人物。

有很多文章表示黑客江湖江河日下,一代不如一代我却不这么认为,人是需要成长的空间的,就像以前80后鄙视90后,90后鄙视00后一样,大环境不同了,标准也不同了。

现在的环境对于挖洞来说是极好的,各种安全漏洞平台,安全众测平台,安全媒体平台通过各种宣传,运营,活动带给白帽子们极大的荣誉感和归属感,不仅保证了初学者可能的踩红线行为,也保证了学成者资金奖励的可靠性。

而这个大环境的缺点却是急功近利,初学者容易浮躁,产生自身价值定位错乱。“挖洞”的根本目的不是赚钱,而是自己技术的提升,这才是自己最大的漏洞收益!

挖洞匠人也是艺人,这门手艺可以养家糊口,干的好的还能扬名立万。“艺人拼到最后拼的是文化”,常听相声的读者应该很熟悉郭大师说的这句话。

在奖金之外,我们或许还应该思考一下没落的黑客文化如何复兴,如何返璞归真。

为了让大家更进一步了解Web安全的学习路径,3月14日晚上20点,我们邀请到网易高级安全工程师石刘洋进行一场主题为《Web安全从入门到学以致用》的免费直播分享。

扫描上方海报QQ群二维码

(QQ群号: 778467912),

即可加入直播交流群~

 
黑客技术与网络安全 更多文章 小心 !跨站点websocket劫持! 地表最强逆向框架?美国国家安全局释出Ghidra 漫画:什么是 HTTPS 协议? GitHub上有一份大神整理的十几年“渗透攻击”经验,你想要么? 一个搞笑的病毒
猜您喜欢 【ES6入门系列(5)】-数值的扩展 共识机制:群智的基本法则 EJ系列16-18条 Swoole2.0正式版发布,协程特性支持PHP7 「12306奇葩验证码」反例背后的产品观