0x1本周话题
话题一:请教大佬,api接口怎么判断是tcp的还是http的?问开发,说都是tcp,最后可能用的http。
A1:可以口语化一点,如果问他是不是http协议他回答有误,那就问他本次api接口可否用postman发包?可以则是http。
A2:TCP应该和UDP对应起来说吧,传输层,现在的API接口协议都是用HTTP方式,应用层协议,HTTP访问都有返回值,所以都是基于TCP。HTTP通常有建立多少个连接的说法,这个就是一对一,UDP是不用管这么多的,无连接。
A3:这个意思是有返回值是tcp,不能说明是http吧。http是包含tcp的,这个没问题,一个是7层,一个是4层。
Q:使用http协议的api接口安全如何做?因为不是面向公众服务的,都是点对点,有必要做渗透么。
A4:可以把它理解为无界面的网页请求。平时网页请求都需要登录校验,权限校验对吧。所以api接口一般都会有未授权访问漏洞或者越权漏洞。渗透人员可以幻想出一个web界面来渗透,那就跟平时的渗透方式一模一样了。对于点对点这种,我一般会回复:如果开发文档泄露了呢?那是不是任何人都可以根据文档点对点构造http请求进行未授权操作。
A5:如果想全面测试,可以拿到API文档针对每个接口参数进行测试。通过http地址调用的api应该就是http协议吧。非常常见的是,swagger页面泄露了,那就谁都能看到接口,接口API的重点在鉴权和数据返回,还是都要摸排一遍的。
A6:点对点对方不被拿下,有接口文档也没用吧。不过在"大型安全演习"中,对方被拿下了,你就很危险了。对互联网暴露的服务比较关注,对点对点的不是很重视。
A7:策略都是明细白名单,页面泄露也访问不了吧。一般api接口都不需要鉴权吧。
A8:https://cloud.tencent.com/developer/article/2160217。除非走专线才不需要鉴权。
A9:往往开发说点对点,实际上服务器区内任意设备都可以访问api服务器,甚至办公区也可以访问。走专线这个可以有,最佳实践。相对于公网,专线可控还是很强的,至少将来除了问题,溯源的时候很快。
A10:现在供应链攻击玩得怎么六,专线其实也就这样,就是增加成本。而且刚才没说的例外,对方强势单位,你让人改,怎么沟通都说改不了,那还是得接,那后续就看运气了。
A11:如果对方网络内网和互联网是通的,管控比较松。接专线和互联网我咋感觉区别不是特别大。
Q:“内网和互联网是通的”是指啥?
A12:就是,你不知道专线接入的对方会不会在后面直接把互联网映射进来。直接把专线咔嚓就OK了。我们是发现过这个情况的,机构跟我们是专线对接,但是他们把我们的应用直接转发到他们互联网出口。
A13:理解了。那不是每家都这么搞,至少也符合暴露面收紧的原则。那就这种情况,等同互联网,还不加鉴权么?
A14:响应时间专线的确快,安全性来说,得指望对方单位,有些三方机构听名字都是中小私企,这样的机构专线和互联网区别不大。
A15:哦,我想到一个很经典的案例,就是前段时间有个公司的一个API接口直接可以查身份证信息,不就是典型的把专网应用接口转互联网。
Q:互联网也能访问这个接口吗?
A16:三方公司进行二次封装,然后放互联网上。
话题二:背景:发现的任何一个新漏洞,都应该能找到它的归属类别。请教:维度很多,大家用的是哪种分类方法?
A1:如果就漏洞谈漏洞,分类一般都是按照漏洞产生原因分类,根因分类方法。
A2:按照自己业务需求划分呗。在治理的时候 根据漏洞弄。危害,类别(服务端 前段 pc二进制 安卓等)
A3:固有风险等级我们基本参考gbt 30279。然后处置方法上再根据内外网等一些方面去划分。
A4:有国标肯定优先用国标,但提权内核漏洞等系统层的,弱口令等非代码问题,就套不进去,然后我看了CWE,归因分类得比较好,硬件、ddos也都照顾到了,但就是和主流的“注入”等行为分类方法需要翻译。
A5:可以套30279啊,比如本地一键提权,那访问路径是本地,触发要求是低,权限要求是低,等等,然后按照分值就有最后综合分级了。
Q:漏洞分类算什么呢?
A6:30279的分类也是按照归因,弱口令就是它列的“授权问题”。内核漏洞无非各种溢出,但不需要自己分类,因为系统开发者已经分类了啊,如果需要做个分类统计,从我们使用者来看就是“环境问题”。
A7:摒弃RCE、提权、容器溢出、数据泄漏这些形形色色的“结果”,全部回归到“原因”。RCE的本质是它网络访问、无权限、无交互、默认,导致的极高评分,而不是因为能执行代码
A8:我理解大概也是这样。钱总说的rce这是打分里的一部分,“被利用性”,rce的“影响程度”也是高,所以结合起来最后有个很高的级别。
A9:能实现rce的方式很多,不过也得分未授权和授权之后的吧。实战中大家最想实现的是未授权,这是从效果来看。可以是直接远程命令执行,绕过认证+远程命令执行,后者漏洞组合利用方式很多。
A10:是的。所以RCE不是一个漏洞分类,而是效果分类,跟它并列的不是“授权不当”“逻辑错误”,而是“数据泄露”“文件篡改”“资源放大”。以这个文章为例,每行其实是说“文件上传”“文件包含”等漏洞原因,加是否需要特定条件等环境因素,导致RCE进而被完全控制的效果。
A11:从实战效果看,效果分类的关注度会比根因高,根因参照cwe就比较好。
A12:效果分类,初步想就是安全三性,即数据泄漏,篡改控制,破坏。但似乎又有点太笼统了。