给国内知名大厂提BUG有感:安全是一种意识
前言
本周一(2019.07.22),给某知名手机“大厂”提了个安全BUG,默默修复了后,周五回复我“已忽略”,此处省略上千字的心理活动…..
做安全的朋友说这都小事,国内氛围本来就不太好,hackone就不会这样。
今天周六写些文时,既然安全问题已修复,那直接发文也不存在什么问题,但是,
写文过程中抓包补图,发现安全问题修复只是表象,文章写了一半,发也不是不发也不是…
斟酌再三,做事哪有做一半的道理,于是写完了本文,图片全部打码处理,交流为主提高大家的安全意识。
如有此文有不妥之处,请联系我删除。
一、安全漏洞
不废话,先说这个安全漏洞:
-
漏洞:无鉴权可随意上传任何图片url,图片链接可分享他人访问
[图1]
-
危害:
- 上传什么微商营销图片,以官方名义分享传播,确为官方地址,用户上当受骗几率倍增,损害官方权威与公信力;
- 上传政治敏感类(反D,反G)的图片,并被传播,则是对企业是致命的;
- 上传点小黄图…
- 竞争对手,上个图造个谣,发点假消息..
- 说到底就是一个免费图床,你能想通过图达到的目的基本都可以。
[图2]
-
解决方案:
- 方案一,增加鉴权:上传需要鉴权操作
- 方案二,隔离外网访问:如是只是内网测试,建议隔绝外网访问,内网通可以vpn异地访问
因不确定其URL的作用,只是浅显的给了两个最基本的建议。
-
官方答复:
[图3]
-
我认为的漏洞状态:Open (2019.07.27)
- 仅屏蔽了原来上传WEB页面URL访问
- 上传图的API接口仍可以随意上传
但我也不会去提BUG,就这样喽,拉黑大厂,哈哈哈,总结请见第三节。
二、事件经过
-
周一:发现漏洞
- 手机收到推送消息“测试链接”(请见下图4)
- 测试长期养成的好奇心,手痒点击通知,自动安装了其官方某APP
- 玩了一下乏味,自已的测试习惯,用抓包工具玩一玩
- 所有请求都是https的,手机就算装了Fiddler证书,APP操作过程也会提示证书不安全,安全意识很高哈
- 花3分钟遍历了一下界面,发现个URL,WEB打开显示“内销xxx测试图片上传”界面…(请见图1)
[图4]
-
周一:反馈平台
- 谨慎上传了多张图片,WEB上传,API接口上传都成功… [一脸蒙逼图]
- 在朋友的指导下,将漏洞整理后,通过SRC平台反馈官方 (请见图1)
- SRC平台漏洞进度:待审核
- 发现BUG的喜悦,让一天的心情都变得很美妙
-
周二:官方第一次修复
- 周二查看,已发现官方屏蔽了WEB上传的入口
- SRC平台漏洞周二进度:待审核
[图5]
-
周三:官方第二次修复
- 周三官方又进行了修复
- SRC平台漏洞周三进度:待审核
[图6]
-
周四:漏洞已修复,进度待审核
- SRC平台漏洞周四进度:待审核
[图7]
-
周五:漏洞已修复,拜拜了您
- SRC平台漏洞周五进度:已忽略
- 漏洞什么漏洞,不存在的,您开什么玩笑
[图8]
[图9]
三、事件思考
-
我的测试习惯:
- 追根问底的习惯,当然也会因时间关系错过很多BUG,所以一直在提升自我能力与视野同时,定期深入测试一线,以保持发现BUG的能力,所以才有我在写本文过程中发现,安全问题其实根本没有真正修复。
- 截图或留日志的习惯,此文中大部分图是在测试时习惯性的保存,所以此文整理没有花费太多时间,有图有证据,谁都别想甩锅给测试小伙伴。
- 多次验证结果的习惯,问题出现大部分是偶然,必现步骤与必现环境,需要不断求证自己新的假设,在条件允许的情况下尽量不放过一处BUG。
- 延迟满足的习惯。
-
安全意识:
- 几年前我对安全的较浅的认知,《浅谈MITM攻击之信息窃取(解密315晚会报道的免费WIFI窃取个人信息) 》https://www.cnblogs.com/findyou/p/5285900.html
- 安全问题依旧是人的问题,从未变过:关键岗位人员安全意识薄弱,能力受限与视野窄,决策失误。
- 内部测试URL的泄漏,与安全问题响应时间,侧面反应,某厂的管理混乱,流程繁琐。
- 一定程度反应,某厂安全平台负责人在安全意识,可能跟我水平不相上下,真的很菜,指哪动哪,完全不去思考延伸,业务关联等,仅修复了表面问题,深层次即鉴权的问题,完全没管。
-
如保规避此类安全问题:
- 内部测试URL、工具等,严禁外网访问
- 内部所有访问与操作,理应配相关权限,SSO管理也是不错的选择
- 新员工安全培训,不应该限于代码安全,配置安全,对弱密码、社工相关的也应提供相应的培训
- 定期评估关键岗位人员能力,以实操为主,排除仅是PPT的能力
- 系统、代码等常规漏洞,管理、流程等漏洞也是需要定期评估
- 建SRC平台,提供给白帽反馈的渠道,如何激励是关键,不然就如同某厂….嗯,我居然能排在第68位
- 有能力则邀请专业人员定期做安全评估。
附:
2、Android抓包方法(二)之Tcpdump命令+Wireshark
3、Android抓包方法(三)之Win7笔记本Wifi热点+WireShark工具
4、浅谈MITM攻击之信息窃取(解密315晚会报道的免费WIFI窃取个人信息)
转载说明
本文为原创文章,如需转载,请在开篇显著位置注明作者Findyou和出处