PoC

 

夏至 | 宜漏洞 POC 快速安检,忌迟缓检测降低效率

老人星 数字观星

图 火星 | 文 老人星

 

今日夏至,池中小荷斗艳,微风偶起涟漪。

 

安全漏洞也一样会不定时出现。最近正是重保的关键期,接连出现的安全漏洞(weblogic 等)引起了安全人员的高度重视。漏洞披露出之后,大家都赶紧进行漏洞检测、漏洞修补。这其中的关键一步是什么呢? 一起来看漏洞生命周期和漏洞检测。

 

 

 

应该注意的是,整个漏洞生命周期过程中,第一个关键节点是漏洞验证过程,即漏洞 POC。

 

关于漏洞 POC

漏洞 POC:指安全人员基于 Python 编写漏洞检测插件,复现漏洞环境,将漏洞复现流程代码化。对发现的漏洞进行真实性验证,并确认其是否能被利用。从而能够充分掌握新现漏洞的相关信息。

 

编写 POC 是安全研究人员的一项基本功,分析不同的漏洞时,安全人员根据漏洞类型进行编写不同的 POC,在编写 POC 时需要注意以下几点规则:

  • 随机性

POC 中所涉及的关键变量或数据应该具有随机性,切勿使用固定的变量值生成 Payload,能够随机生成的尽量随机生成。(如:上传文件的文件名,webshell 密码,Alert 的字符串,MD5 值)

  • 确定性

POC 中能通过测试返回的内容找到唯一确定的标识来说明该漏洞是否存在,并且这个标识需要有针对性,切勿使用过于模糊的条件去判断。(如:HTTP 请求返回状态,固定的页面可控内容)

  •  通用性

POC 中所使用的 Payload 或包含的检测代码应兼顾各个环境或平台,能够构造出通用的 Payload 就不要使用单一目标的检测代码,切勿只考虑漏洞复现的环境。

 

在安全人员编写好 POC 进行漏洞验证和检测时,以 web 漏洞为例,通用的方式有以下两种:

  • 直接判断:通过发送带有 Payload 的请求,能够从返回内容中直接匹配相应状态进行判断。

  • 间接判断:无法通过返回的内容直接判断,需借助其他工具间接的反应漏洞触发与否。

 

漏洞 POC 价值

对于安全人员而言,及时进行漏洞 POC,有利于快速掌握漏洞信息,获取准确的漏洞情报。对于企业同样意义重大,进行漏洞 POC 工作可以助力排查现存漏洞威胁、掌握和自身相关的漏洞情报情况、突发漏洞迅速响应和处理。

 

我们知道,在漏洞被黑客利用、恶意代码或程序爆发时,企业出于安全风险考虑,会选择对自己的资产设备进行漏洞检测,排查隐患。但是目前来看,采用扫描器的方式进行漏洞检测时,能覆盖的检测面宽,但是容易出现检测速度慢、检测插件更新不及时、检测到不相关的漏洞等问题。安全人员还需要对检测结果进行排出、筛选等工作。这样会影响漏洞检测和后续的漏洞修补工作效率。

 

相对而言,对于特定的/某一类的漏洞检测需求,采用 POC 插件进行检测目标性明确,POC 插件更新检测速度快,有助于企业快速排查相关漏洞的存在情况,完成安全加固等修复工作。从而避免服务器等被恶意攻击,造成损失。

 

POC++ 奖励平台

鉴于此,观星推出 POC++ 奖励平台,对漏洞 POC 进行收录,旨在通过凝聚社会各界的安全技术力量,打造覆盖面广、检测能力强的漏洞检测、验证平台。

 

 

平台对漏洞接收范围、漏洞类型及风险等级要求、漏洞风险等级评价标准、漏洞时效性要求、POC 脚本格式要求、提交表单项、漏洞/POC 提交流程、漏洞/POC 审核流程及评价标准等进行了具体说明。同时平台会根据漏洞/POC 提交的质量情况,对提交者进行星豆奖励。

 

 

漏洞随时可能出现,进行漏洞 POC 才更有价值。观星 POC++ 奖励平台欢迎大家积极参与。

 

 

 

 

 
已同步到看一看
 
 
 
2019年10月12日 15:28
首页    PoC