第86天-SRC 挖掘-教育行业平台&规则&批量自动化

思维导图

第86天-SRC 挖掘-教育行业平台&规则&批量自动化_第1张图片

第86天-SRC 挖掘-教育行业平台&规则&批量自动化_第2张图片

  • 参考: https://src.sjtu.edu.cn/introduction/

1.法律法规:

第八条 按照对信息系统机密性、可用性、完整性等三方面要素的影响评估,漏洞风险发现与技术验
证应遵循无害化原则:
(一)信息系统机密性无害化验证指导场景:
可实现非授权访问或用户权限越权,在完成非授权逻辑、越权逻辑验证时,不应再获取和留存用户
信息和信息系统文件信息;
可执行数据库查询条件,在获得数据库实例、库表名称等信息证明时,不应再查询涉及个人信息、
业务信息的详细数据;
可获得系统主机、设备高权限,在获得当前用户系统环境信息证明时,不应再获取其他用户数据和
业务数据信息;
禁止利用当前主机或设备作为跳板,对目标网络内部区域进行扫描测试。
(二) 信息系统可用性无害化验证指导场景:
应充分估计目标网络、系统的安全冗余,不进行有可能导致目标网络、主机、设备瘫痪的大流量、
大规模扫描;
禁止执行可导致本地、远程拒绝服务危害的技术验证用例; 禁止执行有可能导致整体业务逻辑扰
动、有可能产生用户经济财产损失的技术验证用例。
(三) 信息系统完整性无害化验证指导场景:
可获得信息系统后台功能操作权限,在获得当前用户角色属性证明时,不应再利用系统功能实施编
辑、增删、篡改等操作;
可获得系统主机、设备、数据库高权限,在获得当前系统环境信息证明时,不应再执行文件、程序、
数据的编辑、增删、篡改等操作;
可在信息系统上传可解析、可执行文件,在获得解析和执行权限逻辑证明时,不应驻留带有控制性
目的程序、代码。

2.评分(Rank)

  • 严重 9~10
  • 高 7~9
  • 中 4~7
  • 低 0~4

3.如下漏洞将被忽略:

  • 非(不确定)教育相关行业单位

  • 不在奖励范围内的高校

  • 虚假漏洞

  • 本平台上已有其他白帽子提交过的漏洞

  • 互联网上已经被公开的漏洞

  • 提交到本平台后又提交到其他平台的漏洞

  • 没有链接、截图、利用方法等漏洞详情不详细的漏洞

  • 需要登录管理员后台才能触发的漏洞

  • 需要中间人攻击的漏洞

  • Self-XSS

  • 无敏感操作的CSRF 漏洞

  • 钓鱼漏洞

  • 无敏感信息的 JSON Hijacking

  • 扫描器取得结果,但白帽子无法提供利用方法的漏洞

  • 无意义的源码泄露、内网IP、域名泄露

  • 拒绝服务漏洞

演示案例:

案例一 Python-Fofa-Xray 联动常规批量自动化

import requests
import time
from lxml import etree
 
def get_edu_name():
    for i in range(1,196):
        url = "https://src.sjtu.edu.cn/rank/firm/?page="+str(i)
        try:
            result = requests.get(url).content.decode("UTF-8")
            soup = etree.HTML(result)
            name = soup.xpath('//td[@class="am-text-center"]/a/text()')
            print('->'+str(i))
            print(name)
            name = '\n'.join(name)
            with open(r'edu_name.txt','a+',encoding='utf-8') as f:
                    f.write(name + '\n')
        except Exception as e:
            time.sleep(0.5)
            pass
 
if __name__ == '__main__':
    get_edu_name()

也可以在fofa上搜索

"edu.cn"&&country="CN"

把所有的域名都爬下来,用xray,awvs等工具进行批量测试。

案例二 Python-Fofa-Exploit 联动定点批量自动化

在seebug(https://www.seebug.org/)上找到一个最新的有POC的漏洞,对POC二次开发使之可以批量测试。比如jumpserver远程命令执行漏洞

"edu.cn"&&jumpserver

在fofa上搜索使用jumpserver的教育行业网站,爬取收集,进行自动化批量测试!

案例三 Python-Fofa-平台默认口令安全批量自动化

下面网址列出来大部分设备的默认口令:

https://github.com/ihebski/DefaultCreds-cheat-sheet

编写脚本,批量测试。

涉及资源:

https://www.seebug.org/
https://github.com/Miagz/XrayFofa
https://quake.360.cn/quake/welcome
https://github.com/TimelineSec/2020-Vulnerabilities
https://github.com/TimelineSec/2020-Vulnerabilities
https://github.com/ihebski/DefaultCreds-cheat-sheet

你可能感兴趣的:(自动化,安全,网络)