厉害了丨白帽子靠挖漏洞拿了137万“年终奖”

新闻资讯

正值年终岁末，各位职场人士最关心的就是年终奖了，据说有人拿了137万的“年终奖”，来了解一下~~~

360冰刃实验室研究员洪祯皓发现了一个Hyper-V的漏洞，因为漏洞危险级别高，影响范围广，微软在确认漏洞细节后第一时间确认奖金并致谢漏洞发现者。

奖金总额高达20万美圆约合人民币137万，可谓是微软送给中国白帽黑客一笔丰厚的“年终奖”了，这也是微软史上送出的最高一笔漏洞挖掘奖励。

技术大佬们，奖金这么丰厚，是否是已经按奈不住要去挖漏洞了，多挖几个高危漏洞，你就是下一我的生赢家！初级挖洞菜鸟也不要气馁，i春秋今天给你们分享漏洞挖掘的相关内容，帮助你们快速提高挖洞技能，对于新手小白的学习很是有帮助，但愿你们好好阅读。本文在3000字左右，阅读时间约5分钟。

漏洞挖掘是安全圈的核心内容之一，随着各大厂商安全意识的加强，以及各种waf的出现，一些像SQL注入，文件上传，命令执行等漏洞并很差挖掘。尤为对于刚刚学完基础并开始着手漏洞挖掘的小白来讲，拿到手后就显得更加迷茫。

这篇文章是一个漏洞挖掘思路的总结，适合给刚入门的小白指路，但愿你们多多支持，也欢迎小伙伴们来分享补充大家的漏洞案例。

常见漏洞清单

若是你是一个刚学完基础，且没有参加各类培训，彻底自学的小白。那么你的漏洞清单多是这样的：

• 暴力破解漏洞

  SQL注入漏洞

  命令执行漏洞

  XSS漏洞（跨站脚本）

  csrf漏洞（跨站伪造请求）

  xxe漏洞

  文件上传漏洞

  文件包含漏洞

  各cms的公开漏洞

若是你有幸看到一个大佬的漏洞清单，那么有可能除了上面那些，还多了下面这几项：

• 逻辑漏洞

  ssrf漏洞

  信息泄露

  js文件可能存在的未受权访问

  组合漏洞

  ……

然而这些也只是一部分，欢迎大佬们前来补充更多漏洞清单。

漏洞类型详解

01
逻辑漏洞

逻辑漏洞是一个经久不衰的话题，目前没有一个扫描器敢说本身能扫到逻辑漏洞，或许有的厂家敢说本身没有一个SQL注入，可是没人敢说本身没有逻辑漏洞（我想也没有厂家敢说本身没有SQL注入吧）。并且，因为如今waf和防火墙的逐渐完善，SQL注入，上传等漏洞，也愈来愈难以查找和利用，而逻辑漏洞则不存在这种问题。

何为逻辑漏洞，就是开发者在开发过程当中，因为代码逻辑不严，而形成的一系列能够被攻击者加以恶意利用的漏洞，逻辑漏洞也是这一类漏洞的总称。

最多见的逻辑漏洞能够分为如下类型：

验证码爆破

支付漏洞

注册/忘记密码处逻辑漏洞

越权
……

举个最为常见的例子：以低价购买任意商品的支付漏洞，或者找回密码流程控制不严格，致使的能够修改任意用户的登录密码，还包括越权，越权查看他人订单，越权查看他人我的信息等等。

固然这只是一部分，具体漏洞的原理以及介绍你们能够去自行搜索关键字，有不少大佬的文章写得比较好，一些漏洞详情你们能够去看乌云。

02

信息泄露

信息泄露也分好多种，如：

源码泄露

用户信息泄露

员工信息泄露
……

对于源码泄露，你们能够去github上找，不少程序员会把源码开放在github上，甚至有的人连用户名和密码都不改，数据库链接密码直接存在源码中。对于员工信息泄露，能够在收集信息的时候收集帐号，而后放在社工库跑跑，或者记录帐号用来爆破。

03
组合漏洞

组合漏洞是一个能够把低危漏洞变成高危漏洞的神奇东西。好比你找到一个xss漏洞和一个csrf漏洞，若是两个漏洞单独提交，或许是两个低危，又或许是两个忽略。可是若是你把xss和csrf组合起来就有可能变成一个高危漏洞。

说个小技巧，若是你想要详细的漏洞列表，能够去多收集几家src的漏洞说明手册，而后去重，就是一份完美的漏洞列表。

漏洞挖掘技巧
如何快速提升挖掘漏洞能力？在提高挖掘漏洞能力时应该养成哪些好的习惯？让咱们一块儿往下看：

细心
细心必定要放在第一位，由于细心真的很是重要，我有幸请教过不少大佬成功的秘籍，他们告诉个人第一个词语就是细心，正所谓心细则挖天下。不少漏洞都是须要细心才能够发现，不放过数据包中的任何一个参数，不放过网站的任意一个点，我曾问过团队的小石师傅，如何挖掘那些不少人都挖过的src，这么多人都挖过，一些功能点我还要在测一遍吗？

小石师傅并无给我直接回答，而是讲了他一个漏洞的挖掘经历，那是挖美团的时候，小石师傅直接主站开始挖，而且在我的资料一个很明显的地方，挖到了一个储存xss的高危漏洞。

因此，在咱们进行漏洞挖掘的时候，不要放弃任何一个可能存在漏洞的地方，每一个人都有不一样的挖掘方式，网站这么大，总会有几个漏测的地方，而且一个漏洞修复了，谁敢保证，修复完了，就不能再修一个漏洞出来呢。

耐心
耐心同细心同样，能够说是一对cp。若是你自己就足够细心，那么我想你的耐心也不会差。若是说细心是你漏洞挖掘的利剑，那么耐心就是你的磨刀石，不少时候，碰到一个破站盯几天才能挖到一个漏洞，你坚持下来了就是胜利者。

有人说挖洞，也是个运气活，运气好了随随便便就是几个高危，运气很差，几天也挖不到一个。虽然有必定的道理，可是当你的能力足够强，有了本身的套路，想挖漏洞仍是轻松加愉快的。

会看、会记
会看，会记就是要多看漏洞详情，多看技术文章，还有网上不少人分享的案例。看完就要记，才能作到学以至用。

若是你面对一个厂商，有无从下手的感受，最好去看漏洞详情，一个一个看，而后把漏洞出现的位置，以及使用的一些技巧记下来，成为属于本身的漏洞挖掘手册，这也是我最近在作的一个事情。还有一些好的文章，好的技巧，或许你暂时还用不到，可是你要学会记，总有用到的一天。

懂收集
大佬说过，漏洞挖掘说白了就是一个fuzz的过程，而fuzz最关键的就是一本高效的字典，没错咱们要学会收集字典，想公开的字典有fuzzdb，是一个很是好的fuzz字典合集，固然咱们在收集他人字典的同时也要本身收集字典，曾经看到一个大佬，搜集了github大量的开发项目的路径，而后组成字典。

我也不要求小白能够写程序而后自动收集字典，可是，咱们在平时的漏洞挖掘过程当中，遇到的一些东西仍是要多去收集一下，逐步慢慢的造成本身的一本专用字典，绝对能够提升你的漏洞挖掘效率。当你有一本本身收集的字典时，相信你也成为一名大佬了。

勤动手
当你看过大量漏洞，记了大量笔记，这个时候我相信你最须要的，就是实战。实战是能够把所学所看融会贯通的最快方法，没有之一，只有实战能够锻炼本身的挖洞能力和效率。看到新的漏洞多去搭建环境复现，这也是对能力的一种提高。

爱学习学习，学无止境，知识面有多广，决定了你能够挖多少漏洞，多学习，至于学什么呢，学js，学代码审计，学开发，学json等，有的时候真的感受，你要成为一个开发人员，了解详细的信息传输和交换原理，才能够挖到更加深刻的漏洞。若是有一天你感受挖不到漏洞了，不如放下手头的一切先去学习吧。