BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

黑哥:CSRF漏洞扫描及解决方案
录制于:

| 受访者 黑哥 关注 0 他的粉丝 作者 Roy厉 关注 0 他的粉丝 发布于 2014年7月11日 | 如何结合区块链技术,帮助企业降本增效?让我们深度了解几个成功的案例。
23:29

个人简介 黑哥(周景平)是一名有5年多的从业经验的外科医生,2012黑哥加入知道创宇,转行安全。

QCon是由InfoQ主办的全球顶级技术盛会,每年在伦敦、北京、东京、纽约、圣保罗、杭州、旧金山召开。自2007年3月份首次举办以来,已经有包括传统制造、金融、电信、互联网、航空航天等领域的近万名架构师、项目经理、团队领导者和高级开发人员参加过QCon大会。

   

1. 非常感谢黑哥可以参加我们这次的QCon的采访,首先请黑哥简单介绍一下自己。

周景平(黑哥):我本名是周景平,在网络安全界大家习惯称呼我为黑哥。我目前在北京制造创宇,是安全高级安全研究员。其实比较跨界,我之前是学医的,是一名泌尿外科医生,在我们当地一个市医院工作了五年多,直到2012年才加入了现在的公司。

   

2. 从医学界跨界到网络安全这个行业,说说你是当时是怎么考虑的,入行的时候有什么有趣的事儿可以分享一下?

周景平(黑哥):当时我在南华大学(我们那时候叫衡阳医学院),在读大学的时候,本科专业是临床医学,临床医学当时入门都很简单。然而我自己对计算机技术特别感兴趣,最初网页知识,学习制作方法。一次偶然机会在地摊上发现一本黑客防线,里面有关于木马的使用介绍,从木马开始学起,后来去学校图书馆学习相关的计算机相关的书,慢慢地再通过互联网认识一大帮朋友,大家都愿意分享,把自己的研究成果都拿出来共享,共同学习,逐渐入门。接着,利用课余时间去网吧学习各种脚本,在网吧条件是很艰苦的,那时候都是无盘的系统,每次还要还原系统,好不容易搭建了一个Web服务器的环境,重启之后就没了,又重新装,不停地折腾,就变成了现在的样子。

   

3. 关于脚本,你认为整个安全圈对它的重视程度如何?脚本黑客相比做内核漏洞或者做系统漏洞的这些人而言,区别在哪里?

周景平(黑哥):这个区别还是蛮大的。我觉得在黑客里面应该要分类,首先你要分它是做纯技术流的,还是做黑客流,或者说传统的,大家都普及的这种黑客,去黑站,去渗透,做黑产之类的。从技术流方面来讲,Web这个理论达一定的高度以后,都是相通的,不管是做系统的底层的,还是做脚本、做应用安全的,很多思路到最后可能更多的就是一个哲学层面的思考了。

   

4. 对想进入安全行业的年轻人而言,你建议他们是直接从脚本入手,还是从研究二进制入手?

周景平(黑哥):每个人的学习经历决定他的职业方向。对于大多数人而言,最开始他可能接触的就是脚本,因为脚本的应用层安全是门槛相对较低的;接着,就是去做渗透,然后慢慢尝试去挖一些脚本的漏洞,连带去分析,大家基本上就是按照这个套路。但是对于那些搞二进制的人而言,他对仿编译的那些代码会很有感觉,更多的是步入底层去思考。还有一部分人最开始是做脚本的,做着做着就发现很没意思,因为这个很容易瓶颈。但其实如果想要往更高度发展必须在底层有一定的基础。当然,也有的人开始转型,研究内核去往底层方向发展。

   

5. 所以你赞同内核安全的技术门槛更高,或者说它的技术含量更高吗?

周景平(黑哥):门槛高我是赞同的,至于技术含量,就如我刚说的,无论哪个方向都可以深挖,挖到最后,可能你得到了一个结论是个哲学类的结论了,这个有一点,别人可能说你装B,忽悠了。

   

6. 去年你拿了腾讯的十万大奖,而且你比第二名提交的漏洞多了一倍以上。能取得如此成就,你觉着主要归功于什么?

周景平(黑哥):这个我拿十万大奖,我觉得这个根本就没什么,相比来说,在国外这个十万大奖,那么多漏洞跟十万大奖是不匹配的,但是在国内这个是刚刚开始,这个是必须要肯定的,腾讯能够及时迈步这一步对整个安全界是有帮助的,这是要说的。至于挖那么多漏洞,刚开始其实我不怎么去在意这个事情,我更加在意的是THRC那个体系的建设,目前在国内都没有这样的东西,排行榜、奖励机制,这些都是全新的。乌云出现以后,我当时在思考,这个甲方能不能做这件事情,我也做了很多,因为我也在研究这个漏洞纰漏的这个流程,做一些事情。甲方能够帮他们建立一些这样的机制,这个才是我比较认可的。谈到漏洞挖掘,其实内容很多,这个跟经验有关系,有很多扫描器。在PK的那几个月,有好几个朋友都是开扫描器的,然后跟我PK,其中有一两个月,我还入号了。因为他的扫描器有门槛的,就是说你不管扫一次,还是扫第二次,得到结论可能差不多,你扫一次得到几个漏洞,扫第二次,可能还是这样的,是取决于漏洞不停的业务增长。但是我不同,我的是纯手工,我也知道他的一些不足,有的东西爬不出来,爬虫爬不到,你的策略识别不到,我就抓住这个机会。举一个最典型的例子,一个朋友,他开着一个可以自动分发的扫描器,但是遇到一种CSRF的漏洞类型,而这个扫描器识别不出这种类型,然后我就想了一个办法,由于他的是带QQ登陆以后去促发了这个规则,我就看他的微博,他的扫描器每发一个微博,我就报一个漏洞,CSRF那种漏洞可以引发入层的,然后就这样,他再怎么抄他也没办法,你那个程序也没办法到达人的思维这一层。

   

7. 如果想要掌握扫描器所拥有功能和规则,并且还要在它之上要超越这些扫描器,这个门槛非常高吗?

周景平(黑哥):之前,我在知乎上说过一句话,就三个字,整就牛。整是基础,不管你有没有天赋,你必须去实践,才有机会提升这方面的能力;然后你只要坚持去做,然后配合,但是你做的同时需要去思考。比如说你用个扫描器,扫描之后,你只看看结果,对你的技术是没有提升的。如果你去思考,这个扫描器它到底是根据什么原理把这个漏洞扫出来的?它为什么会扫出来,扫出来之后,它有什么缺陷和盲区?思考这些之后你就会有自己去写扫描器的冲动。我自己有一个想法,写入这个扫描器后,我可以把它完善的更好。当你有这个冲动,就可以去慢慢尝试写扫描器,写扫描器的同时你又可以学到很多知识,通过这种不停地去实践,不停地去思考,你就会发现,你已经不知不觉已经达到了一定的境界。

   

8. 你这次在QCon讲的内容是JMT,也就是俗称就是屌丝攻击,它跟我们刚才讨论的这些挖漏,很多时候没有太多必然之间的联系,可能已经是别人挖好的漏洞,甚至是别人公开了很久的漏洞,一样可以用来进行批量攻击。这是什么原因呢?

周景平(黑哥):这个首先要从网络安全这些人说起,现阶段,在互联网上的支持是滚雪球式的,它不停的滚,已经积累了大量的关于网络安全的知识,你只要稍微懂一点网络安全知识的,有心地去了解,可能你看一批教程就很容易去掌握一定的黑客知识。比如有很多的黑客工具,自动化工具等,有相应的对应语音教程,你对着学可能就会了。从另一个方面来说,很多网站的运维,安全意识比较薄弱,不是流行一句话,修电脑的就是重启,或者是重装。

由于自己的安全防御措施不到位,人家一攻就破,一打就中,所以导致这样的威胁。

   

9. 目前整个安全防御体系从意识层面来讲,都还相对比较落后,你有什么建议给现在这些开发者和运维人员?

周景平(黑哥):其实我们这个是整个安全行业都在思考这么一个问题,怎么才能降低安全的成本,帮助在安全方面没有大投入的这些公司,让他们能够有更好的安全的防御保障。我们公司目前已经有漏洞扫描,包括有百度做CDN防御,都是有免费的,而且你愿意付一定费用,可能还享受到更好的一些服务。近期,我比较关注站长安全,我跟他们聊天的时候,就发现一个问题,我说这个程序官方已经发了升级了,已经补丁了,你为什么不去打?他回答,首先不知道官方有这个升级,不知道要打补丁;第二,这个补丁怎么打,会不会影响其他这个服务,考虑到有的是二次开发,不知道能不能兼容。还有人提到这个网站是别人帮建的,他就是发发文章,去发一些链接,做做SEO。他们认为花这么大精力在安全防御上,还不如多做一点SEO相关的事情,这是他的业务。后来我想这个也是对的,我们应该要把这个门槛降低,然后就做了一款新的产品,叫网站安全管家,让它来帮助站长们做安全防御。只需要在网站上安装一个PHP文件,然后在我们平台上面安装对应的安全应用。只要傻瓜的点一下,就可以打补丁,可以升级了,也可以点一下扫描,我们还有对应的Warf,这种代码层级的,我们可以帮你拦截一定的攻击行为。站长在使用的过程中没有必要去了解你其中的原理,能够实现对应的安全功能就可以了,把这个门槛降低,才是解决问题的出路。

   

10. 第一次做QCon安全专场的讲师,你对这个议题,以及整个QCon大会主办方的主办形式,有什么想法和建议吗?

周景平(黑哥):QCon我是仰慕已久了,每次一听说我们某某在QCon上演讲,我就觉着很奇怪,为什么邀请他们不邀请我,我一直在网上就发牢骚,这次非常感谢出品人能够推荐我;第二,QCon作为一个技术性的大会,门票还这么贵,为什么还有那么多人来参加。这说明它可以给这样的三天会议带来真正的带来价值,所以我觉得这个QCon整体上还是不错的。至于建议,可以从安全专场说起,QCon对在安全圈内的影响还是有限的,在我们会场,我在讲我那个PPT讲之前,现场调查了一下,专业做安全的不是很多,大多数是程序员,只是这些程序员本身对安全有一定的兴趣。后来我就思考,以后在讲师编写自己PPT的时候,需要更多的去结合程序开发者这个角度,去征集这样的议题,可能更接地气一些。如果是专业的安全人员,我就可以讲一些最新的攻击方式,这种漏洞方面的技术研究;如果是程序员,就可以做纯技术的议题,分享一些如何安全性地去开发程序的一些方法。

   

11. 最后一个问题,如果下一次QCon再邀请你,你会有兴趣吗?或者是你会想讲一些更加不同的内容吗?

周景平(黑哥):我只想说一句只要是厉哥做出品人随叫随到。

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT