AuthorFeei

最近看了几个GitHub Pull Request相关的漏洞，觉得有点意思，能侧面反应当前业界对于业务逻辑风险的一些现状，记录分享出来。 GitHub Pull Request风险之逻辑实现不一致 正常情况下，我们在GitHub给某个开源项目A提交一个Pull Request时，会有一个“Allow edits by maintainers”的选项且默认选中。这个选项的主要作用是让项目A（Base Repository）的维护者可以有权限修改被我Fork后的项目（Head Repository）分支。 另外可以发现，无需拥有项目Base Repository或Head Repository权限即可随意创建Pull Request，限制了Head Repository必须是fork自Base Repository。 那么有没有可能把我自己的公开仓库作为Base...

为什么总是被外部发现该发现但遗漏的漏洞？为什么各种黑白灰扫描器老有各种原因遗漏的漏洞？如何解决人工渗透测试带来的遗漏、效率问题？你是否也遇到这些问题，本文会讲讲我理解的漏洞发现，并基于该理论延伸的甲方漏洞发现最佳实践初探。 甲白乙黑：打破乙方思维，找到甲方优势‌ 早期为了发现漏洞需要手工一个个参数去尝试各种Payload，后来用黑盒漏洞扫描器来逐渐替换掉那些重复性的手工操作。我们总在说，不知攻焉知防，但现实所见全是用攻的思维做防。白帽子们进入甲方开始建设企业安全时，也自然而然把黑盒漏洞扫描器搬了过来，甚至作为主要漏洞发现手段。...

客观面对结果，哪怕获得0失分也并不代表做得好，并不代表能防御国家级有组织的黑客队伍，有可能是被分到有软柿子的组，攻击队为获得更好的积分排名不一定会盯着你不放。此外客观来看，虽然防守方会被多个攻击队攻击，但同样每一个攻击队的目标也是多个，会导致他的精力有限无法发挥出全部效果。同时防守方一般会为了比赛，做大量的防御工事，其中还会有很多临时性手段，比赛结束可能就拆除了，平时的黑盒可没有这些限制，企业的安全水位想要再上一个台阶，达到常态化HW水平是必然趋势。 为避免不必要的麻烦，下文用实战攻防赛代替HVV。本文仅代表个人想法，和所在公司无关。 实战攻防赛是将小概率安全事件常态化的赛场，双方在既定规则下进行博弈与演化，攻击方为争夺第一而明争暗斗，防御方为抵消攻击者不对等的优势而不断进化建设理念，双方源源不断的从场中汲取经验作为新能量，帮助我们认知实战、理解实战，进而应对实战、掌控实战。...