[脑洞大开]你认为tangscan应该具备什么牛b的检测能

  • A+
所属分类:WooYun-Zone

先说下奖励方式:

1.每一条对我们有帮助的回复都会得到不少于一次的感谢(此条长期有效)

2.活动时间内(8.13-8.30)选出一条最价值的回复奖励20wb;并额外赠送注册邀请码一枚

带着如下问题去思考,当然黑客应该是天马行空的,我们接受一切有态度的想法。

如果你是一个白帽子&渗透工程师:你平时用过或者写过什么牛b的安全检测类的工具or产品;你觉得他们有什么牛B的功能和亮点?一些独特的检测思路和技巧?非常规的漏洞类型检测?

如果你是一个甲方的企业安全从业人员:你认为tangscan应该帮你做哪些事情?不仅仅局限于漏洞扫描,跟企业风险相关的一切,可以畅想一下。

回答方式:我建议大家说一下自己所在的行业,比如:

金融行业,我认为tangscan如果可以自动获取企业的一些员工/管理员信息,他们的邮箱是什么,可能存在什么的口令,并且找到一个登陆入口,自动尝试登陆爆破,最终拿到可用账号打入内部系统…这样就牛b啦

当然这只是一个例子,想法是要有的,万一实现了呢?

————反馈和简历也可以发送到help#tangscan.com————-

最后,招人来一起实现伟大的产品,参与本次活动的朋友优先考虑:

[WEB安全高级研究员]

  岗位要求:

  1. 精通Web攻击方法, sql注入、Xss攻击、命令注入、CSRF攻击、上传漏洞、解析漏洞等

  2. 能够自行跟踪出新出的web攻击方式及原理分析;

  3. 熟悉常见脚本语言,能够进行WEB渗透测试,恶意代码检测和分析;

  4. 有一定代码编写能力;

  5. 具有较强的责任感、具备能够独立的开展工作的能力;

  6. 能熟练阅读英文文档。

  注:该岗位长期招聘

  1. 1#

    zone | 2015-08-13 13:12

    一楼支持求赏wb

  2. 2#

    king7 | 2015-08-13 13:13

    我想不到啊皇上!

  3. 3#

    boooooom | 2015-08-13 13:13

    @zone 你这种支持我只能口头感谢了,回去好好想想,牛b的想法啊。朋友

  4. 4#
    感谢(1)

    海绵宝宝 (唯有爱与旅行,才能消磨生活的糟糕与烦心。) | 2015-08-13 13:18

    CMS版本识别

  5. 5#

    园长 (喵~) | 2015-08-13 13:19

    big data

  6. 6#

    light (生于理想,死于欲望) | 2015-08-13 13:20

    中国名字top500结合企业域名等信息自动化精准生成爆破字典对各系统进行爆破的功能

  7. 7#

    zone | 2015-08-13 13:20

    通讯行业,我认为tangscan如果可以自动获取收集企业的一些员工/管理员信息,他们的邮箱,工号,手机号,证件号什么,可能存在的口令,并且找到一个登陆入口,自动尝试登陆爆破,最终拿到可用账号打入内部系统…这样就牛b啦
    自动化 超强字典 自动识别验证码  延时 直接拿后台 整站分析 自动生成报告 自动列出危害等级。。哎 为了wb不容易

  8. 8#

    boooooom | 2015-08-13 13:20

    @园长 表哥,你给点具体的撒

  9. 9#

    xsser | 2015-08-13 13:22

    洞主真有钱

  10. 10#

    举起手来 | 2015-08-13 13:26

    @xsser 像洞主这种拥有神器的男人,会缺钱吗?  另外有好想法我也赞助,帮助洞主点感谢。

  11. 11#

    shawshank | 2015-08-13 13:29

    一键shell

  12. 12#

    xsser | 2015-08-13 13:34

    @shawshank 这个想法不错

  13. 13#
    感谢(1)

    her0ma | 2015-08-13 13:34

    1,子域名爆破;
    2,爆破到子域名了然后对类似oa、email、jenkins、svn、git等自动进行爆破;字典可以采用top500常用用户名,根据不同系统的不同常见用户名格式来生成,比如email的用户名可能是[email protected],其它的可能就没@xxx.com的后缀。
    3,对于企业邮箱自动识别,然后针对性的组织字典进行爆破,跟第二条差不多。爆破成功之后,获取所有员工的邮箱帐号,然后之后爆破就不用top500,用已经获取的用户名生成字典;
    4,大数据,比如知道一个公司的玉米,然后通过查询QQ群来匹配他们的同时群,然后对管理员QQ进行自动社工,尝试登录邮箱等系统。这个部分应该已经是渗透相关的功能了。
    5,针对一个目标进行旗下所属所有玉米的自域名探测,IP段探测,探测完之后针对一些服务配置不当导致的漏洞进行利用。比如各种数据库未redis,mongodb未授权访问~

    先吃饭,想到就这些

  14. 14#

    Aepl│恋爱 | 2015-08-13 13:35

    不对外 一切的都是浮云 没什么可说的

  15. 15#

    justforfun (肾啊肾,老是渗不透) | 2015-08-13 13:36

    通过谷歌,百度之类的收集企业邮箱,然后在利用域名去搜集子域,例如vpn,mail这些,最后载入字典开始爆破

  16. 16#
    感谢(1)

    mramydnei (一个逗逼运维) | 2015-08-13 13:38

    说一个我挖掘XSS常用的小trick。
    很多时候我们的测试都是黑盒测试。所以对于输入点的提取,多数时候我们会采取随机测试或者通过截取浏览器产生的请求,来进一步对这些点进行测试。不过即便你这么做也会有漏网之鱼。

    所以如果在抓取一些页面以后顺便提取出来页面中的变量
    不论是 js context的各种变量还是html context里的各种name。先都抽出来。
    然后需要注意有些参数是需要同时提交才会有效果,所以还需要对提取的变量名做排列组合进一步产生url。有时候你会发现。。。这么明显的洞,居然还没被提交

    你根本没有抓到的或抓不到的一些参数放到url里也是妥妥的在传数据。

  17. 17#

    boooooom | 2015-08-13 13:38

    @shawshank 这个我们部分已经支持了,是不是很屌

  18. 18#

    boooooom | 2015-08-13 13:40

    @her0ma 司马,我们需要你,很多和我们现有的想法一致啊,已感谢。

  19. 19#
    感谢(1)

    进击的zjx | 2015-08-13 13:42

    企业员工的敏感信息收集,比如邮箱啊,手机联系方式啊,希望有个大的社工库可以查询,万一用的就是这个密码呢!

  20. 20#

    梧桐雨 | 2015-08-13 13:43

    @mramydnei m哥的这个思路我已经用js实现了,此前的一个浏览器uxss就是这么找到

  21. 21#

    白无常 | 2015-08-13 13:44

    sqlmap,burp,优化一下界面,做成适合国人用的。
    集成一个字典生成工具,调用个社工库接口。
    最后把这些组成一个程序。

  22. 22#

    白无常 | 2015-08-13 13:45

    可以再添加一个域名批量检测,例如svn漏洞批量扫描并检测

  23. 23#

    1c3z (你不是一个人在战斗) | 2015-08-13 13:49

    其实我是反对cms识别,感觉划不来

    各种经常出问题的组件的检测
    jboss  fckeditor ActiveMQ jenkins等
    各种经常出问题端口的检测
    ajp13 JDWP LDAP 等
    各种数据库的弱口令
    mongodb db2 mysql sqlserver 等
    各种常用系统的未授权访问

    一些文件备份的检测
    1.rar www.rar  域名.rar 目录.rar 等
    自动对无验证码的form表单进行爆破,基础认证爆破

  24. 24#
    感谢(1)

    0x_Jin (世上人多心不齐) | 2015-08-13 13:51

    信息收集,一切能打开口子的信息
    1.比如通过搜索引擎去搜索一些登陆口 邮件信息,或者一些敏感文件 备份,或者是一些sql文件 txt xls那些之类的
    2.就是收集子域名,这样可以快速的把他的web apps给过一次 找出较薄弱的点
    3.在通过搜索引擎或者爆破出子域名后,检测一下哪些域名有cdn 那些域名没有,然后把没有cdn防护的域名真实ip拿出来用curl 带上host去跑C段, 一般也能跑出几个来,最后把真实Ip都扫描下端口,有的端口可能放着一些内部应用或者较薄弱应用之类的.
    信息收集的方法太多了 如果通过工具把信息收集中的一大部分工作都给完成了的话,那渗透起来就快速多了.  所以我的重点偏向于信息收集.

  25. 25#

    boooooom | 2015-08-13 13:54

    有些好想法可以直接先来提交插件,提交插件得汤圆,每次命中插件也得钱,http://www.tangscan.com/anonymous.php

  26. 26#

    Defa | 2015-08-13 13:55

    5分钟扫遍互联网

  27. 27#

    Martes (你让我说点啥好) | 2015-08-13 13:55

    体验者  优化下检测的策略和效率  扫描一个网站很容易迷路,前些日子添加的目标到现在都还没有扫完,是否考虑下扫描机器在多长事件后超时,爬行深度,扫描策略方面做下定制和精细化配置

  28. 28#
    感谢(1)

    getshell1993 | 2015-08-13 13:57

    1.获取子域名+兄弟域名
    2.域名,二级域名,兄弟域名对应ip进行C段扫描
    3.常用端口探测,简单列举一些
    (21,80-90,443,873,2601,2604,3128,4440,16082,6379,8000-8010,8080-8090,9200,11211,27017,28017,1900,7001,50000,8888,3312,7778,10000)
    4.各种备份,svn,git……
    5.员工安全意识下手,github,QQ群,弱密码,结合企业相关信息生产强弱密码对mail,vpn,oa等线上系统爆破

  29. 29#

    boooooom | 2015-08-13 13:58

    @Aepl│恋爱 会的,以后开放api给白帽子们玩。

  30. 30#

    boooooom | 2015-08-13 14:01

    @1c3z 你这些已经基本全部实现。你可以去翻翻我们的插件列表:http://www.tangscan.com/plugin  ;希望大家提一些我们现在还没覆盖的好思路哈,私底下找了一些白帽子问了一下,还是有好多很有意思的想法。

  31. 31#

    boooooom | 2015-08-13 14:02

    @Martes 好,细节方便qq具体沟通下么。我帮你看看具体情况,理论上不应该的啊。

  32. 32#

    Nullun (‮nullun‮) | 2015-08-13 14:03

    我就是想要一枚邀请码,看大牛怎么写插件。

  33. 33#
    感谢(3)

    phith0n | 2015-08-13 14:04

    我是一个白帽子+开发者,我最想要tangscan有什么?

    作为一个白帽子,我开发tangscan的插件的原因:
    1.利用工作闲暇时间还能赚钱
    2.也许以后自己也能用tangscan挖掘漏洞

    根据现在tangscan的定义,第2个暂时只是愿景,那么实际上我就是为了赚钱才开发tangscan插件的。
    那么,我最想要的是什么?
    1.更快、更方便、更低门槛的开发环境。
    2.公开、透明的扫描、收支明细。
    3.在开发中学习知识。

    现在分析一下这两点。

    第1,开发环境
    我觉得开发环境对我来说意义很重要,tangscan是一个产品,是一个插件形式的扫描器,但归根到底它应该是一个框架。主体代码的好坏决定了这个框架是否会流行起来,另外,框架是否一直在迭代也决定了大家能不能开心地使用。比如自从web.py的创始人去世以后,我们就不建议使用web.py做开发了,社区也不再活跃。
    所以,我觉得tangscan作为一个框架还欠缺点什么。
    我是很早之前写过几个tangscan的插件,但感觉这个框架,作为一个框架,它给我的开发没有带来任何便利。
    tangscan没有提供一些必要的封装类库,比如IO库,http、ftp、socket、db这样的请求我还是需要调用python原生的库去处理,那么实际上我写的exp,把框架去掉一样能跑,那我还要框架干嘛呢?
    最后框架就沦为一个“定义格式”的工具,框架只是告诉你该把你的代码写在哪个函数里,写在哪个类里,要写哪些说明,但实际上对我的开发没有任何帮助,反而让我的开发变得麻烦多了。
    所以我希望tangscan能做一个有助于开发的框架,封装基本的IO库,并且每个库配备详细的文档。用户体验这个东西对于一个产品来说还是很重要的,特别是对于程序员这个挑剔的群体。
    另外,网站更新了,框架也一定要迭代更新呀。metasploit这么牛逼的框架也是一直在推陈出新。感觉今天再看tangscan的文档,和半年前似乎没啥区别,不知道是不是我忘记了。
    其实我提的这个问题不仅仅是tangscan,有不少框架都是这样的问题。
    对于tangscan来说,统一的IO请求,也能很好地规范插件的水平与效率,否则一个HTTP请求,有的插件用原生socket,有的用urllib,有的用request,整个插件市场都是混乱的。
    当然,封装类库绝不仅仅是IO请求类库,很多方便的类库也可以封装起来,比如多线程,如果tangscan能提供一个一键启动多线程的方法,就避免了很多问题。当然还有包括字符编码等类库,也可以封装起来,减少很多python开发的麻烦。还有计算字符串md5值的方法,明明一个函数就好了,但每次都要写几行,这种基础方法也可以封装起来。
    这是开发环境的一些建议,如果开发环境好了,人们开发的热情也高了,开发速度也会快,赚的钱当然就高了。

    第2,收支
    tangscan定义是一个众筹形式的扫描器,实际上就是给白帽子带来额外收益的。
    那么,具体是怎样的收益,怎样的分配,你什么时间扫描了什么,我的exp命中了什么,命中了多少,究竟是谁说了算,这是很重要的问题。
    像我这有的白帽子肯定不会怀疑乌云的公正性,但不了解乌云的开发者怎么能够相信,是不是我开发的exp命中了10次,你告诉我我命中了5次,另外5次的钱就是你的了?
    怎么才能对白帽子有一定的公开透明度,这也很重要。否则调动不起来积极性,然后具体的钱是怎么赚,命中一次多少钱,不同exp是否钱也不一致,这也最好有说明。
    这块不好做,努力吧。。
    这是对于收支的建议。

    第3,学习
    我相信还有很大一部分白帽子开发插件不是为了赚钱,或者不是主要为了赚钱。
    有的是抱着学习的态度来开发插件,获得汤圆,还可以查看别人的插件,互相学习。(当然这不是tangscan的核心定义)
    有时候开发的时候我会想,这么开发是否速度最快,我有没有必要自己去实现多线程,或者自己去实现异步请求。这是开发一个扫描器的时候肯定会想的内容,但tangscan的文档里也没告诉我们有没有必要考虑这些问题。如果没有必要,那么为什么,我还是比较希望对这个有一些了解。学到东西,今后也能开发自己的扫描器。
    这是对于学习性的建议。

  34. 34#

    卖C4的小男孩 | 2015-08-13 14:07

    自动化的识别登陆窗口,并自动化尝试爆破,因为一般登陆窗口的post包都不是很复杂,可以让软件先提交一次post再,然后拦截包,再爆破。验证码识别网上有类似于E语言一样的模块化的识别模块,

  35. 35#

    il0vnn | 2015-08-13 14:08

    电商,

    针对P2p、返利、电商机构,tangscan是否已支持薅羊毛?抵抗羊毛党的需求对于这些平台应该算刚需。

  36. 36#
    感谢(1)

    he1renyagao (无) | 2015-08-13 14:12

    自动化测试,我目前思路  给一个目标,从子域名收集(爆破,google,dns传送漏洞,只相信这三种),根据子域名进行爬虫,弱文件扫描,nmap端口扫描。爬虫结果根据url 解析放入到sqlmap 检测(其中设计到get,post,get涉及到伪静态,post又设计到多种格式),也可以加入命令执行,xss 检测,  弱文件扫描根据扫描的类型做分析,比如svn,git java的web.xml 自动爬下所有文件保存。 nmap 识别端口对应的服务,ftp,ssh,1433,3306,3389 等常见可爆破端口进行爆破(可以自行收集增加端口服务,比如9200,11211进行信息收集或者自动化检测。)。增加几个小点 域名目标进行cms 识别,使用对应exp轮训一遍。对url 中存在.action , .do 文件类型的进行struts检测(poc轮一遍,zone有几个),thinkphp框架的也把几个漏洞轮一遍等等一些框架漏洞 都识别过一遍。  我就编到这了

  37. 37#

    xsser | 2015-08-13 14:13

    @phith0n 是的,但是其实也有很多白帽子自己也是企业的,所以这里这里也可以站在企业的角度去考虑是否支持啊

  38. 38#

    小威 | 2015-08-13 14:18

    1.针对论坛自动化采集用户,然后调用社工裤进行爆破。
    2.针对网站IP进行旁+C的扫描后的ip,进行端口扫描。通常这会给我们意想不到的收获
    3.说个自己一直想的功能,虽然对web攻击并无多大关系
    就是根据特定字符串或者标题等,google或者扫全网ip,获取摄像头信息,然后开发人脸识别系统,调用摄像头来对特定的人进行识别侦测,是不是很叼!

  39. 39#

    boooooom | 2015-08-13 14:18

    @phith0n 首先非常感谢phith0n大牛,说的很有针对性,很认真,很多也确实是我们现在存在的问题。你说的问题一定会在我们接下来的产品迭代中得到体现。关于你提到的一个愿景”也许以后自己也能用tangscan挖掘漏洞”;未来我们会去做。

  40. 40#

    boooooom | 2015-08-13 14:22

    @卖C4的小男孩 已经有大牛写了插件了,赚了不少钱  http://www.tangscan.com/plugin/415

  41. 41#

    只发通用型 (别人都叫我疯狗,但是我真名叫剑心,可是很多人都把我认成finger,其实我长得像肉肉) | 2015-08-13 14:22

    现在tangscan只是有poc吧 希望假如漏扫模块。自动探索参数注入探测,domxss扫描什么的..

  42. 42#

    boooooom | 2015-08-13 14:26

    @il0vnn 好问题啊,有啥具体的思路么。可以一起研究下

  43. 43#

    sadn3s | 2015-08-13 14:26

    @phith0n

  44. 44#

    boooooom | 2015-08-13 14:27

    @只发通用型 漏扫模块有的,这部分相对复杂,所以我们有人专门开发,暂时没放在插件里面。

  45. 45#

    YangCL | 2015-08-13 14:36

    SQL 注入扫描  弱口令扫描。

  46. 46#

    白开水 | 2015-08-13 14:45

    可以针对下内网渗透开发一些功能……..

  47. 47#

    剑芯 (大包整多两笼) | 2015-08-13 14:48

    对于一些内网使用,但是不便于对外网开发的服务。甲方通过搭一个代理,让tangscan能够从外网扫描。
    http proxy,sock proxy都得支持

  48. 48#

    Wulala (^..^ ^..^ ^↓^ ^..^ ^..^) | 2015-08-13 14:49

    乙方安全工程师,可以考虑每个或某些插件设置超时时间,当达到这个阈值,强制终止此插件. 这样可以解决某些插件引起的扫描效率低的问题.
    同时可以考虑加入一个漏洞修复的参考值:修复指数=漏洞危险级别/漏洞修复风险 比如:强烈建议修复(10)/风险较低(1) = 10
    因为在甲方管安全的只管安全,管运维的只管运维. 安全的说这个有漏洞,运维说生产的我不敢修,万一出问题了谁负责,…  所以就需要漏洞报告者提供一个修复指数,不是所有漏洞都是要修复的,但是我们建议你强烈修复的你请务必要修复.. 当然肯定要提供一份具体的修复说明(这个Tangscan肯定有的啦)…

  49. 49#
    感谢(1)

    Wulala (^..^ ^..^ ^↓^ ^..^ ^..^) | 2015-08-13 14:56

    Web扫描还有两个很重要的功能:
    登录扫描:
         预设Cookie 或者 登录录制 或者其他更好的方式
    终端模拟:
         user-agent
    比如一个网站只允许移动设备访问,其他设备访问返回一个静态页面. 这时候这个功能就很有用了…

  50. 50#

    刘海哥 (‮moc.ghuil.www) | 2015-08-13 15:05

    访问一个网站自动检测get post是否有注入,之前有人开发,但是玩起来不理想。

  51. 51#

    sadn3s | 2015-08-13 15:08

    @刘海哥 这种功能的好像有挺多的

  52. 52#

    生鲜一手 (重剑无锋,大巧不工) | 2015-08-13 15:08

    围观大牛讨论

  53. 53#
    感谢(1)

    岛云首席鉴黄师 (乌云核心绿帽子 《绿帽子讲婚姻安全》作者) | 2015-08-13 15:12

    1.敏感目录和文件扫描。
    2.虚拟终端
    3.可以设置置顶cookie,甚至可以扩展一个XSS平台,直接导入打到的COOKIE。
    4.针对某些通用性的漏洞一键getshell或者一句话。shell和一句话可以预设几个直接选定,也可以提交自己的shell和一句话。因为要考虑到免杀的情况。
    5.向WVS那样对漏洞进行评级,然后列出漏洞的使用案例。
    6.可以自己拓展自己的插件或者EXP,可以设置成公开和不公开。
    7.短信邮件以及微信通知。
    8.针对某些特殊情况,可以设置代理。
    9.可以集合一些WEBshell的功能(这个貌似有些鸡肋,自己可以getshell了,就可以用自己的shell了)
    10.可以进行弱口令爆破,字典可以选择自己的,也可以选择平台共享的。
    11.旁注啦,C段啦,敏感端口啦,https心脏出血啦,Stust2啦,git啦,SVN啦这些基础功能是必不可少的。可以结合日站三字经或者日站思路按照流程写个功能。
    12、在线编码转换
    13.
    最后弱弱的问一句……我说的这些功能加上去后会不会对服务器造成很大的压力啊……

  54. 54#

    岛云首席鉴黄师 (乌云核心绿帽子 《绿帽子讲婚姻安全》作者) | 2015-08-13 15:13

    3.可以设置指定的cookie,甚至可以扩展一个XSS平台,直接导入打到的COOKIE。   打错字了··

  55. 55#

    刘海哥 (‮moc.ghuil.www) | 2015-08-13 15:13

    @sadn3s 求观摩!

  56. 56#

    sadn3s | 2015-08-13 15:15

    @刘海哥 猪猪侠那个算么?

  57. 57#

    sadn3s | 2015-08-13 15:16

    @刘海哥 还有前天freebuf上那个

  58. 58#
    感谢(1)

    泳少 (此号被射!by U神) | 2015-08-13 15:18

    反正基于现在的市场上的扫描器是不完整的,首先你必须从域名分析处的爬虫做的够深入,其次你在检测该网站是否有sql注入的时候是需要把payload做的完善点,什么意思?问的好,首先你要去让扫描器分析下这个网站是否有waf如果有进行下一步绕过分析,如果没有再判断参数之间究竟哪个会存在sql注入。第二检测XSS的时候不可能就是说只是让他去丢入payload如果扫描器返回了错误然后你就认定他有XSS存在,首先你要明白它这个输出点是什么样的,其次是最好要把扫描器搞完善点,怎么说?因为有些XSS它在Firefox啊,或者IE是无法弹窗的,但是在chrome上它就可以弹窗,如果可以把这样的类型检测到是最好不过的了。然后端口就把常见的端口全部过滤一遍再筛选,在筛选的过程中顺便把网站的路径fuzz了,这样就能方便这个网站即使首页有403拦截你了。你也可以调到那个页面上去访问,暂时就先说这么多吧,如果不好请感谢我,如果好请感谢感谢我。:)100楼后再补充点详细的

  59. 59#

    boooooom | 2015-08-13 15:21

    @ 剑心 你是甲方?你需要这样么?

  60. 60#
    感谢(1)

    残废 (“/><img src=x>) | 2015-08-13 15:23

    本人亲测  以上要求 Bugscan完全满足  来份bugscan豪华套餐吧~

    传送带

  61. 61#
    感谢(1)

    shaonian | 2015-08-13 15:23

    用了bugscan感觉就听刁刁的,无论弱口令检测,还是找后台、注入、敏感信息泄露。。。。。等等,平时做测试还是其他的都可以满足,tangscan嘛,没用过,听说过不怎么样,漏扫不稳定,有些东西扫的不全。

  62. 62#

    小饼仔 | 2015-08-13 15:23

    @刘海哥 post注入扫描,可能会影响业务数据,很多企业都扫的比较少。

  63. 63#

    boooooom | 2015-08-13 15:28

    @乌云首席鉴黄师 这点压力不算啥,话说今天我的点赞次数用完了,大家继续提,我每天上来点赞啊。

  64. 64#

    麦兜 (麦兜爱吃苹果) | 2015-08-13 15:29

    1,根据域名和首页内容模糊分辨出网站内型
    2,根据网络上已知案例,分析某种类型网站容易被某种入侵手法入侵
    3,对比分析,调出匹配poc插件尝试检测
    把项目当一个“人”来开发,高度智能,精准
    叼不叼~~~!!!!!

  65. 65#

    刘海哥 (‮moc.ghuil.www) | 2015-08-13 15:29

    @sadn3s 晚上去看看!

  66. 66#

    刘海哥 (‮moc.ghuil.www) | 2015-08-13 15:30

    @小饼仔 post的确扫描会影响业务数据。。但是经常在post出问题。

  67. 67#

    boooooom | 2015-08-13 15:32

    @泳少 挺好的,先mk下,明天补上感谢。

  68. 68#

    shaonian | 2015-08-13 15:34

    @mramydnei M锅叼叼叼

  69. 69#

    泳少 (此号被射!by U神) | 2015-08-13 15:42

    @boooooom 好戏在后头~ /害羞

  70. 70#

    boooooom | 2015-08-13 15:48

    @泳少 在线等

  71. 71#

    包包 ((●˘◡˘●)) | 2015-08-13 15:48

    个人感觉,不如来个可以智能分析邮箱或者个人的爱好的模块,适合社工或者APT,又或者说,可以方便渗透测试人员自定义提交数据,然后系统分析,自定义生成字典。。不知道我的这个想法是不是太开了。

  72. 72#

    Vigoss_Z (http://i-security.cc) | 2015-08-13 15:54

    @boooooom 他是红皮猪,大赶集。

  73. 73#

    A11riseforme | 2015-08-13 15:56

    默默围观楼上大牛的想法,以后想办法集成到自己的渗透系统里。。。

  74. 74#

    boooooom | 2015-08-13 16:09

    @包包 你完全把我们定位成渗透测试平台了。不过想法够天马行空。

  75. 75#
    感谢(1)

    Annabelle | 2015-08-13 16:33

    存储行xss测试…输入点进行输入…然后通过某处的xss触发判断输入点在何处…

  76. 76#

    岛云首席鉴黄师 (乌云核心绿帽子 《绿帽子讲婚姻安全》作者) | 2015-08-13 16:34

    @boooooom 点赞啦!!

  77. 77#

    瘦蛟舞 | 2015-08-13 16:35

    客户端文件爬到提醒下. 比如 .apk 这样的.

  78. 78#

    摸了你 (叹路走三千,抵不过流年。) | 2015-08-13 16:41

    @boooooom 可以想想可以支持一些开脑洞的、猥琐idea,比如 爬不到的找回密码链接,存在注入漏洞。

  79. 79#

    浮萍 ((0)) | 2015-08-13 16:49

    要是能生成报告就好了

  80. 80#

    黑名单 (我就喜欢你们讨厌我,又干不过我的样子!) | 2015-08-13 17:28

    爬行当前网站链接的子域名 例如一个新闻发布网站 可爬行所有的发布人名称(账号)因为这玩意很难抓 然后能导出爬行出来的账号 用于爆破 二、对爬行出来的目录进行整理支持导出 三、对简单密码进行测试 例如admin test test123 等等..四、检测服务器类型 以及真实IP 五、模拟注册账号、 六。扫描端口 说这么多 其实还是一键getshell比较牛逼

  81. 81#

    爱上平顶山 | 2015-08-13 17:36

    误报率较高

  82. 82#

    mramydnei (一个逗逼运维) | 2015-08-13 17:40

    @梧桐雨 太过分了 lol

  83. 83#

    mramydnei (一个逗逼运维) | 2015-08-13 17:47

    @泳少 xenotix做过类似的尝试
    xss从waf检测->过滤规则探测->bypass->payload->pwn

  84. 84#
    感谢(1)

    HRay (018) | 2015-08-13 17:51

    评判因素应该就这些点吧:
    一,目标:假定以一个企业为目标,如何最大化的去收集可以入手的点,差不多大家把思路都说了,
    子域名爆破(包括对二级三级域名的继续轮询爆破),兄弟域名、dns域传送、搜索引擎特定语法、as号,dns中各种纪录的ip,mx、spf啥的,同ip域名反查、c段扩展、以及从其他漏洞检测中最新发现到的,如爬虫(爬虫是否支持解析js)、信息泄露漏洞或者github上这类的、高级点的比如发现无需认证的内部代理,重新定义了边界会增加很多目标,以及楼主在峰会里提到的一个绑hosts方法(把那些解析到内网的域名挨个绑发现的外网ip尝试?),收集邮箱地址当然我这就是想法,有些东西想做好还是有难度的,比如自动化的c段扩展可能就会打偏,github的关键字怎么定?定的太宽泛误报太多,太精确又无法保证覆盖的全,应该还是需要人工干预才行
    二、利用  域名和ip都全了,该考虑利用了,常见易出现问题的服务,cms,是否可以自动化getshell,用之前收集的邮箱前缀,常见姓名字典及密码topxxx变形去实现暴力破解各种后台,邮箱等,再有就是不断的充实漏洞库
    三、速度  扫那么多东西,速度也是很重要的,这块我没啥说的,交给开发去费心了
    四、结果输出,输出可以分为展示的是否炫酷与误报情况,扫那么多东西,做那么多测试,如何保证误报在可接受范围?单从敏感文件扫描这一项来说,还没发现误报处理的特别好的,这里复制我之前回答的一些处理[[[[思路“1.提取特征:请求asdfnaksdflandsasdf.php与asdfnaksdflandsasdf/  记录title与返回的字节长度(不少网站不存在的文件与不存在的目录返回是不一样的特征)2.判断:白名单定义几个code,如200,403,500,301,302(为啥要匹配跳转的code?因为有些目录你访问完会跳转到后台),满足code的条件下再与之前的记录的字节数与title做比对,不同则输出结果,同时结果记得记录title,这样方便人工快速审核   3.“有些访问不存在的目录的时候显示404并且目录名称在返回的内容里”,用“返回的字节总长度-你请求文件的长度”,这样再匹配也可以优化一些   4.如何验证一个目录爆破程序的误报率?把你收集到的百度域名批量扫下就知道了”]]]]
    写了好多,天马星空完了,剩下的交给你们了

  85. 85#
    感谢(1)

    带头大哥 (北回归线,一炮而红@~!) | 2015-08-13 18:18

    1、速度
    2、快捷
    3、人性化
    4、鼓励开发
    5、能与白帽子前台联系起来
    如:荣誉墙上都能看到我写了多少插件

  86. 86#

    boooooom | 2015-08-13 18:29

    @HRay 感谢018大牛,晚上躺床上再想想,来点奇技淫巧啊。

  87. 87#

    Metasploit (漏洞利用模块平台www.metascan.cn) | 2015-08-13 18:48

    @带头大哥 精辟

  88. 88#

    Catsay | 2015-08-13 19:06

    首先就是扫描速度和准确率减少误报
    第二如果有些漏洞需要其他的exp最好也附上
    如果可以一键getshell也最好
    还有就是一些敏感信息的采集
    还有就是来个邀请码嘎嘎

  89. 89#

    带头大哥 (北回归线,一炮而红@~!) | 2015-08-13 19:26

    @Metasploit @boooooom 说就要说到点子上,话不在多,自己领会! 奖励吧。我说的那个!!

  90. 90#

    boooooom | 2015-08-13 20:00

    @带头大哥 我没有看到什么实质性的东西啊,朋友,你这个太虚了。

  91. 91#

    随页清风 | 2015-08-13 20:26

    非通用cms的各种注入检测

  92. 92#

    剑芯 (大包整多两笼) | 2015-08-14 08:18

    @boooooom 当然需要,你不也是甲方出来的么

  93. 93#

    boooooom | 2015-08-14 09:49

    @ 剑心 好,还有其他好建议么。

  94. 94#

    phith0n | 2015-08-14 09:57

    @mramydnei 不愧是M老师

  95. 95#

    nextdoor | 2015-08-14 10:01

    1.爬虫
    目的就是fuzz尽量多的url.
    我的想法是
    0×01.把静态页面的链接抓出来,包括<a>、<img>、<link>等标签
    0×02.自动分析表单,把<form>标签的重要信息抓出来
    0×03.js文件的动态分析,把js中存在的链接抓出来
    0×04.需要自动交互才能出现的链接,向onclick触发才能形成的链接
    0×05.ajax中提交的信息,进行测试
    0×06.利用爆破的方式去检索一些url,这个会影响到效率
    0×07.利用搜索引擎,对接google抓取更多的url链接。
    然后对抓取的链接,去重等之后,就对其做,sql注入、xss跨站、文件下载、文件遍历等利用url进行检测的漏洞。如果碰到waf,加入关于waf的绕过检测语句,可以把乌云上面绕过waf的方式进行收集,然后fuzz.
    如果大家关于fuzz url的其他想法可以进行补充。

    2.存储型XSS漏洞检测自动化

    3.平行权限漏洞检测自动化

    4.逻辑漏洞检测自动化

    梦想还是要有的,万一实现了呢

  96. 96#
    感谢(1)

    染血の雪 | 2015-08-14 10:09

    1.最好能实现想wvs那样的模拟登陆,cookie登陆实在不靠谱啊~~
    2.既然是个基于社区的扫描器,那各种字典也可以基于社区和大数据,也就说所有人都可以完善扫描器的字典
    话说提意见能得邀请码吗?

  97. 97#
    感谢(1)

    il0vnn | 2015-08-14 10:13

    @boooooom

    oom牛,我也就那么一想

    继出现超市“捏捏族”、都市“抠抠族”之后,以80后为代表的新兴都市族们对银行等金融机构及各类商家开展的一些优惠活动引发了浓厚兴趣,并专门出现了这样一批人,搜集各个银行等金融机构及各类商家的优惠信息,在网络和朋友圈子中广为传播。这种行为被称作薅(hāo)羊毛,这样的人,被称作“羊毛族”。 ——来自百度

    自动化情况下
    能够分析下站点优惠、返现语义信息,然后针对那些功能进行批量话获取,看看是否能够每天、每日获取优惠券或者现金返利,更进一步联合自动化注册通过多账号来进行薅。

    甲方合作的情况下
    提供类sql或者模版给甲方编写,放入流程引擎进行针对性的薅。

  98. 98#

    李旭敏 (˿̖̗̀́̂̃̄̅̆̇̈̉̊̋̌̍̎̏̐̑̒̓̔̕) | 2015-08-14 10:20

    可以自定义字典```

  99. 99#
    感谢(1)

    静默 | 2015-08-14 10:30

    1、扩展能力,比如说,我日了一个wp的站,扫描器会自动找出所有存在该漏洞版本的目标,去进行同样方式的getshell

    2、绕过能力,现在waf那么多,总得有些waf绕过的脚本什么的吧,自动加载适合当前目标环境适合的可绕过脚本,如果不行,则挨个测试

    3、思考能力,日主站下不来,自动寻找旁站,找出旁站的漏洞,这个很符合国情吧,不过也没几年了

  100. 100#

    Jumbo (www.chinabaiker.com) | 2015-08-14 10:40

    旁站扫描,调用接口进行扫描,可输出标题,web容器,应用。
    爆破模块,类似于Burp。
    后台扫描,可从旁站中导入,选择字典进行扫描,可自定义404页面。如果遇到安全狗,扫描多了,会出现防御页面怎么办,我们有智能识别模块,防止跳转,会记录下网页的哈希值 如果多次出现 就自动屏蔽
    MD5,调用接口进行密文破解
    指纹识别,识别各大CMS,找漏洞妥妥
    弱口令,在进行扫描目录和蜘蛛爬行时,如果遇到如后台页面,会自动进行弱口令登录
    自动检测功能,输入域名。自动扫描指纹。再根据指纹自动搜索已知漏洞。同时软件尝试收集域名信息,社工持有人信息
    蜘蛛爬行,对目标站点进行爬行。
    子域名爆破,对站点进行二级,三级等进行域名爆破
    端口扫描,对目标站点进行端口扫描,可选是利用程序本身扫描还是nmap或其他扫描器
    软件集成,为了解决每次找工具都要翻目录的情况下,启动软件集成,如输入名字 叫菜刀 输入路径  d:\菜刀.exe  然后我的状态栏上会多一个菜刀 的点击扭  然后我点菜刀 就会自动启动我指定的文件
    邮箱爆破,对各大企业邮箱进行爆破

  101. 101#

    HackBraid | 2015-08-14 10:46

    首先需要有个中文的名字库,可以通过多种方法收集,不是top500那种目前感觉不好用。然后你需要根据中文名生成两种用户名,以李唐朝来说第一个为litangchao,第二个为tangchao. li;密码开始是litangchao和ltc,之后有些密码规则在乌云上很多了。爆破入口很多,可以根据端口分。

  102. 102#

    boooooom | 2015-08-14 10:59

    @nextdoor 朋友,好关心你的2,3,4哦 ;感谢下午才能点,大家别急。一天只能点三次:(

  103. 103#

    boooooom | 2015-08-14 11:02

    @静默 朋友 你说的第一条,就是你r完以后去给我们提交一个自动化的插件,就可以了啊

  104. 104#

    小表哥 | 2015-08-14 11:16

    我觉得你该有个功能是直接打包单个插件的功能,像生成器一样,将某个功能插件直接精简的打包成一个文件。支持导入ip/url文件 ,这样一些getshell、命令执行配合扫描器、url抓取就能成批量的了,这样就能直接吸引黑产入驻了。毕竟这行业黑产实力最雄厚了。

  105. 105#

    小表哥 | 2015-08-14 11:26

    轻量化的程序就可以利用肉鸡网直接变成分布式探测扫描网络,再开发个远程导入任务,任务进度、结果反馈的web程序,从控制面板发布任务,这样就能缩短从插件发布到商业化运行的时间。

  106. 106#

    boooooom | 2015-08-14 11:35

    @小表哥 0.0

  107. 107#

    小表哥 | 2015-08-14 11:40

    @boooooom 完全可以超两个方向走,走全面化,通过插件慢慢扩充功能,方便单一目标检测。走专业化,直接打包单个插件,甩掉臃肿的包袱,将单个功能的效率提到最高,做单漏洞的大面积检测。

  108. 108#

    sadn3s | 2015-08-14 11:42

    @小表哥 – -!

  109. 109#

    小表哥 | 2015-08-14 11:44

    黑白不分家,不管是白帽子、还是黑帽子,都会是客户。

  110. 110#

    小表哥 | 2015-08-14 11:53

    最早的X-sacn,功能全,大家都用,一部分人是用来全面检测大哥目标,另一半是把单个功能扒出来,做大面积批量扫描,比如里面的mssqlserver弱口令,早年的确没什么好的软件大面积猜测,后来出了新的多线程检测的,结果X-SCAN,就被扔了。做安全的不应该回避灰色产业。

  111. 111#

    静默 | 2015-08-14 13:25

    @boooooom 我的意思是直接自己扩展,而不是通过插件单独再去,就比如挖漏洞,如果找到一个,扫描器还自带全网探索相同版本的,这样不就是算通用了么,例子都直接有了,插件的话,只能是,日哪个,出哪个,不要那样的

  112. 112#

    泳少 (此号被射!by U神) | 2015-08-14 14:17

    @boooooom 太多大牛发话我都不好意思再写上去了

  113. 113#

    boooooom | 2015-08-14 15:24

    @静默 本身漏洞扫描策略就是针对全目标的,如果其中一个扫到了,其他的也会被扫到。

  114. 114#

    boooooom | 2015-08-14 15:25

    @泳少 说话要算数啊,朋友。你这样的大牛要做好表率啊。

  115. 115#

    小熊饼干 | 2015-08-14 15:33

    甲方企业:挂在流量出口的扫描很有效且靠谱,比基于爬虫的扫描强太多

  116. 116#

    something | 2015-08-14 15:53

    可能的修复方案 级别 方式 第三方?

  117. 117#
    感谢(1)

    蒙塔基的钢弹 (放下面子,求真学习,拾起斗志,用心渗透!) | 2015-08-14 21:38

    提点自己看完回复后的几点意见吧,可能方向不对或者想法不成熟,但希望有点帮助吧,哈哈。

    1、既然是检测工具,那么为什么最基本的自定义数据包,伪造HTTP头部信息,处理特别的302和200等这些可以应对WAF的检测功能呢。反正这个功能对我来说很需要,比如我就遇到过直接访问admin_xxxx这个目录,直接404,而不是403,但你访问admin_xxxx/login.aspx,那么就会出现登陆口,显然一个小技巧可以骗过一些水平不高的。当然,还有自己伪造的404,在不打开浏览器f12,network里看返回码,还以为就真的是404了。另外就是x-forwarded-for的自动化测试等等。我觉得先不用花哨的检测功能等,基础点的,实际点的,顺手点的,才是最开始要做好的。

    2、为什么木有提及代理及VPN的切断、续连问题呢,难道所有的检测都是短时间就可以完成的吗?:D,我认为甚至应该可以产生一个新的定义,如tangscan的“跳板”一样的,每个人可以为tangscan提供自己闲置的vps运行python程序,为其他使用tangscan的人进行socks或者vpn代理,这样既有利于不触发waf,也可以隐藏ip,也可以为tangscan做贡献,反正我就有vps闲置的。反正就是这么一个定义吧,如何发挥和炒作,这个你们比我擅长。

    3、既然是脑洞大开,那么我再提一点非技术的,都是临时想的啊,就比如前几天自己检测一家公司,竟然有fastcgi解析漏洞(手工发现的),但其他安全做得非常到位,连一个图片给我上传的地方都没有,那么我自己能力有限,我就特别想要求我的朋友们帮我检测出一个上传页面的数据post包的构造。同样,在社区里,很多人发帖都是“XX站,已经有YYY,但无法getshell”,那么希望能有一种协作扫描的机制,某个目标网站,我已经检测到什么,有什么思路,我还需要什么,最终能做到什么,发起一个这样的“求助计划”,然后等待其他队友来帮忙完成剩下的条件。

  118. 118#
    感谢(1)

    小博博 | 2015-08-14 22:20

    行业:普通公司行业
    对象:非专业的安全管理员
    解决问题:可以对公司门户网站、内部网络进行特定的漏洞扫描、安全检测
    功能:可以通过tangscan进行简单的公司内部网络一系列的扫描,例如我们门户网站是大汉cms,我直接在scan找到大汉专门的漏扫插件,进行自动化扫描,当扫描发现一个sql漏洞后,自动去尝试是否可以利用,这种树形的深入扫描。
    可以一键去进行自动扫描,当发现漏洞后会自动去调用别的特定的扫描脚本去接替扫描利用,最后综合展示出来,以简单的实用的脚本代替wvs的功能。
    这样可帮助技术性不强的安全管理人员进行基本的漏洞扫描。(毕竟现在并不是每个公司都有专门的安全岗)

  119. 119#

    illl (错过一个人,那个人便与你无关。) | 2015-08-14 22:29

    可以对网站后台找回来,进行弱口令登录,对其进行sql和st2扫描,看是否转录了危险字符等

  120. 120#

    静默 | 2015-08-15 17:30

    @boooooom 那我就不懂了,反正就是脑洞大开么。

  121. 121#

    纷纭 (:-)) | 2015-08-15 20:45

    新员工入职时填写的一些信息,根据这些信息(比如生日?身份证号?qq号?邮箱?手机号?喜欢的球队或者其他的,在根据密码组合生成一系列密码)和一些常用的密码组合成这个新员工特定爆破的密码库,从而进行一系列的密码破解,或者根据简单的信息对一些开源库进行相关搜索,看看是否有敏感信息泄露,以及常用的各个裤子去寻找密码。

  122. 122#

    岛云首席鉴黄师 (乌云核心绿帽子 《绿帽子讲婚姻安全》作者) | 2015-08-15 22:34

    0.0  居然给我WB了……只想求枚邀请码

  123. 123#

    Nullun (‮nullun‮) | 2015-08-15 23:02

    强大的社工裤

  124. 124#

    boooooom | 2015-08-16 17:13

    @illl 这个功能已经实现了呀,你可以看看我们的插件

  125. 125#

    pyphrb (fuck寂寞的瘦子) | 2015-08-16 22:05

    @HRay 昊爷牛逼啊

  126. 126#
    感谢(1)

    黑暗游侠 | 2015-08-17 00:55

    @boooooom @xsser

    首先市面上类似优秀的扫描产品已经有很多了,我认为要想做到牛b的功能,想要拔萃而出吸引各大企业和安全工作者,必须突出优势,三个字:快、准、狠。在我眼里web漏洞基本上划分为两类,我暂定取名为“基式漏洞”和“复式漏洞”,突破点就在于“基式漏洞”。

    基式漏洞的特点在于1、有固定的存在模式  2、攻击成本低且容易切入大的安全边界和数据,(比如:9200、873、445、匿名21、redis、jmx-console弱口令、tomcat manager弱口令、redis、mongodb、27072{mongo另一个突破口}、IIS服务器的put和move、openssl、struts2命令执行等等),很著名的两句话:1、安全不在于真正强大的地方有多强,而在于关键薄弱的地方有多薄弱。 2、安全是一个整体。

    如果把握好基式漏洞的扫描,因为存在固定模式,攻击成本低,所以可以稳稳地做到:快、准、狠,能在相当短的时间内发现漏洞并切入边界,一个企业怎么可能没有漏洞,也不可能做到修复所有的漏洞,如果tangscan能够非常迅速的帮助企业对整个网段基式漏洞做快速的定位,那么企业至少可以减少很多麻烦和安全隐患。当对基式漏洞做完扫描后才是攻击成本高、技术含量相对复杂、攻击时间长、不存在固定模式的复式漏洞定位,例如规模化扫描、路径扫描、各种CMS、框架的检测、分析等等。

    这里仅仅做一个抛砖引玉,写一些个人的见解,因为给我1个小时,在复式漏洞上我可能可以突破一个站的WAF并进行注入,但是如果全部用来挖掘基式漏洞,我可能可以找到一个段几十个漏洞并获得部分shell。

    最后总结:

    对于安全研究工作者来说,更热衷于挖掘有技术含量的漏洞,花1个小时终于突破了waf会很有成就感。

    但是对于一款优秀的扫描产品来说,核心是帮助企业在有效的时间内以最低的成本发现漏洞。

    无论做什么,用心就好。

  127. 127#

    zeracker | 2015-08-17 01:40

    这帖子质量真高!  赞LS, 无论做什么,用心就好。

  128. 128#

    hwut | 2015-08-17 07:46

    dig data 入库查询,如果多个值,循环测试,如返回空,就爆破。

  129. 129#

    boooooom | 2015-08-17 10:07

    @蒙塔基的钢弹 很有意思的想法啊。感谢!

  130. 130#

    boooooom | 2015-08-17 10:13

    @黑暗游侠 用心,必须用心,颠覆传统的扫描器,为企业做更多更有价值的事情。顺着你的说法,我们会把“基式漏洞”漏洞做扎实,在复式漏洞上寻求创新。

  131. 131#

    邪少 | 2016-03-28 20:43

    最好是网页版的 类似bugscan