安全研究员
术-->用-->体
术:工具的使用,日站的技巧与思路
用:漏洞的挖掘思维,安全的开发思维,
体:漏洞产生的根本原因
安全研究员的分类
纯安全研究员:安全分析,0day挖掘,1day挖掘,攻击链分析,二进制,逆向,新攻击链,内核级攻击
渗透安全研究员:漏洞挖掘,业务逻辑挖掘,攻击链使用,渗透测试,偏体力
产品安全研究员:为安全产品赋能,甲乙方都有市场,偏头脑,安全基础
安全的本质:信任问题
1:是否信任用户的输入:前端漏洞
2:是否该信任管理员用户的输入:后端漏洞
3:是否信任业务提供者,升级包等:供应链攻击
4:不信任任何输入:输入的检测逻辑,对输入进行检测
信任逻辑
不信任任何输入-->对输入进行检测-->信任输入检测逻辑(代码)
安全方案模型
最底层简易的安全模型
输入--->检测是否有安全风险--->输出
NDR
输入:流量,pcap包
检测:waf,正则,流量解析,文件分析,威胁情报等
输出:正常流量无动作,恶意流量阻断
EDR
文件事件,主机API调用
检测:父子进程,关系异常,非常规API调用,敏感文件读取
输出:异常阻断,杀死进程
WAF
输入:api调用
检测:是否包含XSS,SQL注入等关键字(AI检测)
输出:终端该次异常连接
Webshell检测
输入:文本文件
检测:含恶意关键字,敏感函数
输出:隔离,删除
💛挖掘漏洞的最佳入口点是输入💛
我们能掌控的只有输入,永远不会信任用户的输入
当输入的数据能够以某种方式入侵到控制流的时候,漏洞就产生了
Comments NOTHING