黑哥：CSRF漏洞扫描及解决方案

个人简介 黑哥（周景平）是一名有5年多的从业经验的外科医生，2012黑哥加入知道创宇，转行安全。

QCon是由InfoQ主办的全球顶级技术盛会，每年在伦敦、北京、东京、纽约、圣保罗、杭州、旧金山召开。自2007年3月份首次举办以来，已经有包括传统制造、金融、电信、互联网、航空航天等领域的近万名架构师、项目经理、团队领导者和高级开发人员参加过QCon大会。

   

1. 非常感谢黑哥可以参加我们这次的QCon的采访，首先请黑哥简单介绍一下自己。

周景平（黑哥）：我本名是周景平，在网络安全界大家习惯称呼我为黑哥。我目前在北京制造创宇，是安全高级安全研究员。其实比较跨界，我之前是学医的，是一名泌尿外科医生，在我们当地一个市医院工作了五年多，直到2012年才加入了现在的公司。

   

2. 从医学界跨界到网络安全这个行业，说说你是当时是怎么考虑的，入行的时候有什么有趣的事儿可以分享一下？

周景平（黑哥）：当时我在南华大学（我们那时候叫衡阳医学院），在读大学的时候，本科专业是临床医学，临床医学当时入门都很简单。然而我自己对计算机技术特别感兴趣，最初网页知识，学习制作方法。一次偶然机会在地摊上发现一本黑客防线，里面有关于木马的使用介绍，从木马开始学起，后来去学校图书馆学习相关的计算机相关的书，慢慢地再通过互联网认识一大帮朋友，大家都愿意分享，把自己的研究成果都拿出来共享，共同学习，逐渐入门。接着，利用课余时间去网吧学习各种脚本，在网吧条件是很艰苦的，那时候都是无盘的系统，每次还要还原系统，好不容易搭建了一个Web服务器的环境，重启之后就没了，又重新装，不停地折腾，就变成了现在的样子。

   

3. 关于脚本，你认为整个安全圈对它的重视程度如何？脚本黑客相比做内核漏洞或者做系统漏洞的这些人而言，区别在哪里？

周景平（黑哥）：这个区别还是蛮大的。我觉得在黑客里面应该要分类，首先你要分它是做纯技术流的，还是做黑客流，或者说传统的，大家都普及的这种黑客，去黑站，去渗透，做黑产之类的。从技术流方面来讲，Web这个理论达一定的高度以后，都是相通的，不管是做系统的底层的，还是做脚本、做应用安全的，很多思路到最后可能更多的就是一个哲学层面的思考了。

   

4. 对想进入安全行业的年轻人而言，你建议他们是直接从脚本入手，还是从研究二进制入手？

周景平（黑哥）：每个人的学习经历决定他的职业方向。对于大多数人而言，最开始他可能接触的就是脚本，因为脚本的应用层安全是门槛相对较低的；接着，就是去做渗透，然后慢慢尝试去挖一些脚本的漏洞，连带去分析，大家基本上就是按照这个套路。但是对于那些搞二进制的人而言，他对仿编译的那些代码会很有感觉，更多的是步入底层去思考。还有一部分人最开始是做脚本的，做着做着就发现很没意思，因为这个很容易瓶颈。但其实如果想要往更高度发展必须在底层有一定的基础。当然，也有的人开始转型，研究内核去往底层方向发展。

   

5. 所以你赞同内核安全的技术门槛更高，或者说它的技术含量更高吗？

周景平（黑哥）：门槛高我是赞同的，至于技术含量，就如我刚说的，无论哪个方向都可以深挖，挖到最后，可能你得到了一个结论是个哲学类的结论了，这个有一点，别人可能说你装B，忽悠了。

   

6. 去年你拿了腾讯的十万大奖，而且你比第二名提交的漏洞多了一倍以上。能取得如此成就，你觉着主要归功于什么？

周景平（黑哥）：这个我拿十万大奖，我觉得这个根本就没什么，相比来说，在国外这个十万大奖，那么多漏洞跟十万大奖是不匹配的，但是在国内这个是刚刚开始，这个是必须要肯定的，腾讯能够及时迈步这一步对整个安全界是有帮助的，这是要说的。至于挖那么多漏洞，刚开始其实我不怎么去在意这个事情，我更加在意的是THRC那个体系的建设，目前在国内都没有这样的东西，排行榜、奖励机制，这些都是全新的。乌云出现以后，我当时在思考，这个甲方能不能做这件事情，我也做了很多，因为我也在研究这个漏洞纰漏的这个流程，做一些事情。甲方能够帮他们建立一些这样的机制，这个才是我比较认可的。谈到漏洞挖掘，其实内容很多，这个跟经验有关系，有很多扫描器。在PK的那几个月，有好几个朋友都是开扫描器的，然后跟我PK，其中有一两个月，我还入号了。因为他的扫描器有门槛的，就是说你不管扫一次，还是扫第二次，得到结论可能差不多，你扫一次得到几个漏洞，扫第二次，可能还是这样的，是取决于漏洞不停的业务增长。但是我不同，我的是纯手工，我也知道他的一些不足，有的东西爬不出来，爬虫爬不到，你的策略识别不到，我就抓住这个机会。举一个最典型的例子，一个朋友，他开着一个可以自动分发的扫描器，但是遇到一种CSRF的漏洞类型，而这个扫描器识别不出这种类型，然后我就想了一个办法，由于他的是带QQ登陆以后去促发了这个规则，我就看他的微博，他的扫描器每发一个微博，我就报一个漏洞，CSRF那种漏洞可以引发入层的，然后就这样，他再怎么抄他也没办法，你那个程序也没办法到达人的思维这一层。

   

7. 如果想要掌握扫描器所拥有功能和规则，并且还要在它之上要超越这些扫描器，这个门槛非常高吗？

周景平（黑哥）：之前，我在知乎上说过一句话，就三个字，整就牛。整是基础，不管你有没有天赋，你必须去实践，才有机会提升这方面的能力；然后你只要坚持去做，然后配合，但是你做的同时需要去思考。比如说你用个扫描器，扫描之后，你只看看结果，对你的技术是没有提升的。如果你去思考，这个扫描器它到底是根据什么原理把这个漏洞扫出来的？它为什么会扫出来，扫出来之后，它有什么缺陷和盲区？思考这些之后你就会有自己去写扫描器的冲动。我自己有一个想法，写入这个扫描器后，我可以把它完善的更好。当你有这个冲动，就可以去慢慢尝试写扫描器，写扫描器的同时你又可以学到很多知识，通过这种不停地去实践，不停地去思考，你就会发现，你已经不知不觉已经达到了一定的境界。

   

8. 你这次在QCon讲的内容是JMT，也就是俗称就是屌丝攻击，它跟我们刚才讨论的这些挖漏，很多时候没有太多必然之间的联系，可能已经是别人挖好的漏洞，甚至是别人公开了很久的漏洞，一样可以用来进行批量攻击。这是什么原因呢？

周景平（黑哥）：这个首先要从网络安全这些人说起，现阶段，在互联网上的支持是滚雪球式的，它不停的滚，已经积累了大量的关于网络安全的知识，你只要稍微懂一点网络安全知识的，有心地去了解，可能你看一批教程就很容易去掌握一定的黑客知识。比如有很多的黑客工具，自动化工具等，有相应的对应语音教程，你对着学可能就会了。从另一个方面来说，很多网站的运维，安全意识比较薄弱，不是流行一句话，修电脑的就是重启，或者是重装。

由于自己的安全防御措施不到位，人家一攻就破，一打就中，所以导致这样的威胁。

   

9. 目前整个安全防御体系从意识层面来讲，都还相对比较落后，你有什么建议给现在这些开发者和运维人员？

周景平（黑哥）：其实我们这个是整个安全行业都在思考这么一个问题，怎么才能降低安全的成本，帮助在安全方面没有大投入的这些公司，让他们能够有更好的安全的防御保障。我们公司目前已经有漏洞扫描，包括有百度做CDN防御，都是有免费的，而且你愿意付一定费用，可能还享受到更好的一些服务。近期，我比较关注站长安全，我跟他们聊天的时候，就发现一个问题，我说这个程序官方已经发了升级了，已经补丁了，你为什么不去打？他回答，首先不知道官方有这个升级，不知道要打补丁；第二，这个补丁怎么打，会不会影响其他这个服务，考虑到有的是二次开发，不知道能不能兼容。还有人提到这个网站是别人帮建的，他就是发发文章，去发一些链接，做做SEO。他们认为花这么大精力在安全防御上，还不如多做一点SEO相关的事情，这是他的业务。后来我想这个也是对的，我们应该要把这个门槛降低，然后就做了一款新的产品，叫网站安全管家，让它来帮助站长们做安全防御。只需要在网站上安装一个PHP文件，然后在我们平台上面安装对应的安全应用。只要傻瓜的点一下，就可以打补丁，可以升级了，也可以点一下扫描，我们还有对应的Warf，这种代码层级的，我们可以帮你拦截一定的攻击行为。站长在使用的过程中没有必要去了解你其中的原理，能够实现对应的安全功能就可以了，把这个门槛降低，才是解决问题的出路。

   

10. 第一次做QCon安全专场的讲师，你对这个议题，以及整个QCon大会主办方的主办形式，有什么想法和建议吗？

周景平（黑哥）：QCon我是仰慕已久了，每次一听说我们某某在QCon上演讲，我就觉着很奇怪，为什么邀请他们不邀请我，我一直在网上就发牢骚，这次非常感谢出品人能够推荐我；第二，QCon作为一个技术性的大会，门票还这么贵，为什么还有那么多人来参加。这说明它可以给这样的三天会议带来真正的带来价值，所以我觉得这个QCon整体上还是不错的。至于建议，可以从安全专场说起，QCon对在安全圈内的影响还是有限的，在我们会场，我在讲我那个PPT讲之前，现场调查了一下，专业做安全的不是很多，大多数是程序员，只是这些程序员本身对安全有一定的兴趣。后来我就思考，以后在讲师编写自己PPT的时候，需要更多的去结合程序开发者这个角度，去征集这样的议题，可能更接地气一些。如果是专业的安全人员，我就可以讲一些最新的攻击方式，这种漏洞方面的技术研究；如果是程序员，就可以做纯技术的议题，分享一些如何安全性地去开发程序的一些方法。

   

11. 最后一个问题，如果下一次QCon再邀请你，你会有兴趣吗？或者是你会想讲一些更加不同的内容吗？

周景平（黑哥）：我只想说一句只要是厉哥做出品人随叫随到。