给国内知名大厂提BUG有感：安全是一种意识

前言

本周一(2019.07.22)，给某知名手机“大厂”提了个安全BUG，默默修复了后，周五回复我“已忽略”，此处省略上千字的心理活动.....

做安全的朋友说这都小事，国内氛围本来就不太好，hackone就不会这样。

今天周六写些文时，既然安全问题已修复，那直接发文也不存在什么问题，但是，

写文过程中抓包补图，发现安全问题修复只是表象，文章写了一半，发也不是不发也不是...

斟酌再三，做事哪有做一半的道理，于是写完了本文，图片全部打码处理，交流为主提高大家的安全意识。

如有此文有不妥之处，请联系我删除。


 

一、安全漏洞

不废话，先说这个安全漏洞：

*
漏洞：无鉴权可随意上传任何图片url，图片链接可分享他人访问 



[图1]

 

*
危害：

* 上传什么微商营销图片，以官方名义分享传播，确为官方地址，用户上当受骗几率倍增，损害官方权威与公信力；
* 上传政治敏感类(反D，反G)的图片，并被传播，则是对企业是致命的；
* 上传点小黄图...
* 竞争对手，上个图造个谣，发点假消息..
* 说到底就是一个免费图床，你能想通过图达到的目的基本都可以。


[图2]

 

*
解决方案：

* 方案一，增加鉴权：上传需要鉴权操作
* 方案二，隔离外网访问：如是只是内网测试，建议隔绝外网访问，内网通可以vpn异地访问
因不确定其URL的作用，只是浅显的给了两个最基本的建议。

 

*
官方答复：



[图3]

 

*
我认为的漏洞状态：Open (2019.07.27)

* 仅屏蔽了原来上传WEB页面URL访问
* 上传图的API接口仍可以随意上传
但我也不会去提BUG，就这样喽，拉黑大厂，哈哈哈，总结请见第三节。

 

二、事件经过

*
 周一：发现漏洞

* 手机收到推送消息“测试链接”（请见下图4）
* 测试长期养成的好奇心，手痒点击通知，自动安装了其官方某APP
* 玩了一下乏味，自已的测试习惯，用抓包工具玩一玩
* 所有请求都是https的，手机就算装了Fiddler证书，APP操作过程也会提示证书不安全，安全意识很高哈
* 花3分钟遍历了一下界面，发现个URL，WEB打开显示“内销xxx测试图片上传”界面...（请见图1）


[图4]

 

*
 周一：反馈平台

* 谨慎上传了多张图片，WEB上传，API接口上传都成功... [一脸蒙逼图]
* 在朋友的指导下，将漏洞整理后，通过SRC平台反馈官方 (请见图1)
* SRC平台漏洞进度：待审核
* 发现BUG的喜悦，让一天的心情都变得很美妙
 

*
 周二：官方第一次修复

* 周二查看，已发现官方屏蔽了WEB上传的入口
* SRC平台漏洞周二进度：待审核


[图5]

 

*
 周三：官方第二次修复

* 周三官方又进行了修复
* SRC平台漏洞周三进度：待审核
 

 [图6]

*
 周四：漏洞已修复，进度待审核

* SRC平台漏洞周四进度：待审核
 

 [图7]

*
 周五：漏洞已修复,拜拜了您

* SRC平台漏洞周五进度：已忽略
* 漏洞什么漏洞，不存在的，您开什么玩笑



 [图8]



 [图9] 

 

*
 周六：写文补图，漏洞只修了表面

* What？原来只是修复了表面，API还是没有鉴权。
 

[图10]

 

三、事件思考

*
我的测试习惯：

*
追根问底的习惯，当然也会因时间关系错过很多BUG，所以一直在提升自我能力与视野同时，定期深入测试一线，以保持发现BUG的能力，所以才有我在写本文过程中发现，安全问题其实根本没有真正修复。
* 截图或留日志的习惯，此文中大部分图是在测试时习惯性的保存，所以此文整理没有花费太多时间，有图有证据，谁都别想甩锅给测试小伙伴。
* 多次验证结果的习惯，问题出现大部分是偶然，必现步骤与必现环境，需要不断求证自己新的假设，在条件允许的情况下尽量不放过一处BUG。
* 延迟满足的习惯。
*
安全意识：

* 几年前我对安全的较浅的认知，《浅谈MITM攻击之信息窃取(解密315晚会报道的免费WIFI窃取个人信息)  》
https://www.cnblogs.com/findyou/p/5285900.html
<https://www.cnblogs.com/findyou/p/5285900.html>
* 安全问题依旧是人的问题，从未变过：关键岗位人员安全意识薄弱，能力受限与视野窄，决策失误。
* 内部测试URL的泄漏，与安全问题响应时间，侧面反应，某厂的管理混乱，流程繁琐。
* 一定程度反应，某厂安全平台负责人在安全意识，可能跟我水平不相上下，真的很菜，指哪动哪，完全不去思考延伸，业务关联等，
仅修复了表面问题，深层次即鉴权的问题，完全没管。
*
如保规避此类安全问题：

* 内部测试URL、工具等，严禁外网访问
* 内部所有访问与操作，理应配相关权限，SSO管理也是不错的选择
* 新员工安全培训，不应该限于代码安全，配置安全，对弱密码、社工相关的也应提供相应的培训
* 定期评估关键岗位人员能力，以实操为主，排除仅是PPT的能力
* 系统、代码等常规漏洞，管理、流程等漏洞也是需要定期评估
* 建SRC平台，提供给白帽反馈的渠道，如何激励是关键，不然就如同某厂....嗯，我居然能排在第68位
* 有能力则邀请专业人员定期做安全评估。
 

 

附：

1、Android抓包方法(一)之Fiddler代理 <https://www.cnblogs.com/findyou/p/3491014.html>

2、Android抓包方法(二)之Tcpdump命令+Wireshark
<https://www.cnblogs.com/findyou/p/3491035.html>

3、Android抓包方法(三)之Win7笔记本Wifi热点+WireShark工具
<https://www.cnblogs.com/findyou/p/3491065.html>

4、浅谈MITM攻击之信息窃取(解密315晚会报道的免费WIFI窃取个人信息)  
<https://www.cnblogs.com/findyou/p/5285900.html>

 

 

转载说明

本文为原创文章，如需转载，请在开篇显著位置注明作者Findyou <http://findyou.cnblogs.com>和出处

• « 上一篇：看不懂电气图纸？电气符号含义表示大全，从此识图不费力！
• » 下一篇：确认过眼神，看清 HTTP 协议