酷应用

各路高手“约架”阿里全程记录

新闻作者：邮箱投递 2015-06-01 09:38:48

事情是这样的，不久前，阿里安全应急响应中心（以下简称ASRC）准备于成都举办一场名为“雷锋互联网安全沙龙”的武林赛事。于是各路好汉为切磋“武艺”纷纷前来，除主办方派出神秘莫测的EtherDream为代表外，江湖中的两大帮派：网络尖刀和PKAV也派出各自好汉：mpr0xy，江湖人称静哥哥，来自网络尖刀、三叶草团队、现在任职于咕咚网；以及pkav团队的前端大牛长短短。就在昨天，三大侠客齐聚成都，为我们带来一场没有刀剑却直戳互联网安全的精彩技术分享，现在，准备好和我穿回到这场惊心动魄的“比武”中了吗？Show time，Let`s go！在穿越之前先来张三大“帮派”老大“镇楼”！雷锋沙3

一、《膨胀的业务，萎缩的安全》 帮派：网络尖刀&三叶草 侠客：mp0xy 企业业务实际面貌是什么？也许在大多数用户眼中，业务如同一座豪华的洋房，有璀璨夺目的吊灯、有金碧辉煌的瓷砖，然而在技术人眼中，业务实际上却是风吹墙倒、漏洞百出。雷锋沙11

业务实际模样

纵观互联网发展，从门户网站开始，此时我们更常听到和安全相关的无非是盗号、远程溢出；进入论坛时代（例如草榴，哦呵呵~），web漏洞频繁出现；社交时代的xss蠕虫；发展到移动互联网与O2O并行时代，其业务本身就存在例如诈骗等漏洞，到如今的互联网金融时代、智能硬件时代，安全漏洞也同时衍生出各式各样的“进化体”或“多变体”。

而业务流程的缺陷主题体现在数据和控制两大方面，例如校验不严谨导致密码重置，又或者shell提权等等。

导致业务流程缺陷的罪魁祸首，mp0xy总结也许是设计流程导致，也许是错误编码或缺失配置，又或者是其中的组合。

对于如何发现他们？mp0xy也为我们总结出4点：

1、分析HTTP的请求和相应，参数和值；

2、确定业务功能的具体步骤（购物车或者提现）；

3、通过修改参数绕过业务约束；

4、验证不统一，例如验证没有生效、有没有生效（一次输入正确验证码后面默认以后的输入都正确）、一端生效一端没有生效。

在分享的最后，mp0xy带领我们品味一个具体的细节：利用竞争条件漏洞获取无限量星巴克咖啡。（回复“星巴克”，可见具体内容）。简单来说，有2张存有5美刀的卡：wallet1，wallet2。准备2个浏览器同时进行wallet1转账到wallet2。结果，wallet2里面的余额不是10美刀，而是15美刀。造成的原因是：由于数据库没有把数据锁住，wallet1的钱还没有从数据库减少时，造成了两次转账，从而凭空多出来了5美刀。

雷锋沙10 mp0xy带领我们品味细节

二、《XSS》

帮派：PKAV 侠客：长短短 XSS，议题简单明了，可当长短短打开一张xss攻击解析图，涉及相关测试点、原理和利用技巧，从未有过如此详细的图解，导致在现场的我们几乎全部惊！呆！了！该史诗级的解析图包含“挖掘”、“POC”、“Exp”三部分，但其中涉及的内容涵盖范围真的是广之又广。具体还是请见 http://www.pkav.net/XSS.png 吧~ 不是So妹不想介绍，而是功力不够、修行不到家啊~~~（泪奔）故多上几张长短短的帅照以做弥补~ 雷锋沙6

三、《前端技术与中间人攻击》

帮派：阿里巴巴 侠客：zjcqoo 也许你没听过zjcqoo，但应该知道EtherDream，EtherDream的文章频繁的出现Sobug的公众号中，记得最火的一次，各大企业的技术“扛把子”纷纷转载，阅读量当然也是飙升。以至于今天So妹终于见到了活的EtherDream显得异常激动。就差拉着他拍照签名了，咳咳~~ 乍看议题有些同学会对中间人攻击不大感冒，但是干货往往让人意想不到效果。前端攻击结合中间人方式进行的隐式批量嗅探账号、批量劫持、批量拒绝服务使得现场听众脑洞打开，劫持通信页面，劫持加密页面，高级攻击（cookie侦探、记住密码嗅探、HTTP缓存污染、URL屏蔽）。每个技术点在讲解理论的同时配合熟练的演示，使得效果清晰明了，就连主持人都不禁惊呼在ctf等比赛中要是利用相关方法的话会有奇效。

雷锋沙4