今年双十一,顶象特别发起了首届业务安全保卫战,旨在召集白帽子们为业务安全贡献自己的一份力量。历经一个月,顶象首届业务安全保卫战已于20日正式落下帷幕。
截止11月20 日,顶象业务安全保卫战通过审核的业务安全情报&业务安全漏洞共计91个。经工作人员最终审核评定,本次业务安全保卫战Top 10 已出炉,最高积分200,最低积分20。
首先,顶象在这里恭喜各位获奖的选手,感谢各位一个月内的辛苦付出。
当然,除了恭喜本次获奖的白帽子们外,本次顶象还特别设置了参与奖,获奖名单如下:
本次奖品如下,各位获奖选手可联系顶象小助手领取奖品,请获奖用户凭借提交时的完整手机号或者邮箱,添加小助手微信,提供奖品收货信息。奖品会在备齐后统一发放和寄出,因疫情原因奖品未及时收到的敬请谅解。
值得一提的是,11月23日晚,顶象就本次业务安全保卫战如何挖掘业务安全情报和漏洞展开了交流会,针对大家的疑问,我们特将交流会中的部分问题整理出来,供大家参考。
Q1:挖洞渠道有哪些?
A:挖洞渠道其实还是很多的,可以简单分为以下几类:
1、企业SRC 。首先,选择一家你感兴趣的SRC,对该企业进行信息收集,包括熟悉企业资产,对资产分类,方便后续测试等。一般可以通过fofa,zoomeye等网络空间搜索引擎、 ip138、子域名挖掘机,OneForALl、灯塔、谷歌语法、微信公众号,小程序等都可以搜集到SRC信息。
2、公益SRC。正常的信息收集如上,平时可多关注微信公众号、小程序等发布的消息。
此外,企业SRC应多关注核心业务,公益SRC则不同,第三方应用都算在范围内。
Q2:如何发现漏洞?
A:要想让自己发现的漏洞成功通过审核,那么首先就要熟悉漏洞原理,包括如何利用漏洞、绕过方式等等,其次,要尽可能详尽的分析请求包里的参数信息以及功能点,进而分析漏洞影响。
Q3:威胁情报怎么挖/情报在哪收集?
A:关于漏洞和情报的挖掘,首先是门槛高低的区别。
对于门槛高的情报,一般都需要高权限才可以查看,所以我们不推荐。
我们主要推荐的是已经发现的漏洞,这些漏洞中可能会出现新的漏洞或情报信息;其次是对攻击团伙进行追踪。除了这两种以外,还有暗网情报以及情报交易。
暗网情报发现:白帽黑客们对于暗网应该都不陌生,在暗网里会有很多信息,不难发现漏洞。
攻击团伙追踪:事实上,很多的攻击场景都会有自己的社群或者内部的群组,可以通过多种方式打入其内部,获取情报信息。
Q4:业务情报就业前景如何?
A:业务情报挖掘一般岗位要求∶
1)具备一定的风险敏感度,能对可能存在或者即将发生的风险做出提前预判。同时能跟踪最前沿的网络安全事件(数据泄露、重大攻击事件、黑灰产事件),并进行分析追踪;
2)具备相应的分析能力,能够对黑灰产进行深入研究,进行追踪溯源、画像分析,以及威胁情报提取,进而产生业务价值;
3)具备良好的信息整合能力,通过对内外部数据,进行数据关联分析,产出威胁分析报告。
就业方向主要有以下几类∶
1)公务员方向∶如公安等,但难度较大。
2)专业的风险防控平台∶顶象等安全厂商。
3)互联网大厂。
但整体来看,对于有一定开发能力的,对于漏洞挖掘有一定的能力和思考的。可以成为互联网白帽子,前景更加广阔,许多互联网大厂都十分青睐。
Q5:个人如何防范网络钓鱼?
A:网络钓鱼是一个老生常谈的话题,抛开技术手段,就个人而言,建议大家平常不要做这几件事:
1、不要随意打开不知来源的电子邮件。目前主要问题是短信诈骗,含有不明来历的链接不要随意打开,打开后也不要随意填写个人的信息。这些邮件/短信可能是假冒银行,政府机关单位,甚至是用户所在公司的邮件,邮件中一般会需要用户本人提供联系方式,地址,银行账号,或者是进行银行转账操作。
2、中奖等一些虚假信息不要轻易相信。除了骗取银行账号外,还包含一系列个人信息。
3、尽量不浏览不安全的网站,重视网站的安全警告。同时尽量将浏览器补丁保持最新状态。
4、保管好自己的金融账号和密码,不要轻易泄露他人。
5、下载国家反诈App。
最后,顶象在这里再次感谢各位白帽黑客积极参与到此次业务安全保卫战中来,为业务安全贡献自己的一份力量,后续顶象也会将业务安全保卫战常态化,也诚挚邀请各位白帽黑客们继续支持顶象业务安全保卫战。