1 背景思路
最近发现一种新的收集漏洞扫描规则的思路。 360有一款安全监测工具,360网站安全http://webscan.360.cn/
能检测各类网站安全问题,由此猜测背后肯定是一款扫描器。 那我是不是搭建一个蜜罐程序,让他去监测,然后我将所有日志全部记录下来。这样我就有了和360一样全的扫描规则库了?
2 测试验证
以下是测试结果,提交扫描网站后,没多久我的服务器就收到很多请求日志。
GET http://blog.feei.cn/ GET http://blog.feei.cn/robots.txt GET http://blog.feei.cn/ GET http://blog.feei.cn/index.php?a=1<script>alert(abc)<%2Fscript> GET http://blog.feei.cn/ GET http://blog.feei.cn/nevercouldexistfilenosec GET http://blog.feei.cn/nevercouldexistfilewebsec GET http://blog.feei.cn/nevercouldexistfilenosec.aspx GET http://blog.feei.cn/nevercouldexistfilewebsec.aspx GET http://blog.feei.cn/nevercouldexistfilenosec.shtml GET http://blog.feei.cn/nevercouldexistfilewebsec.shtml GET http://blog.feei.cn/nevercouldexistfilenosec/ GET http://blog.feei.cn/nevercouldexistfilewebsec/ GET http://blog.feei.cn/nevercouldexistfilenosec.zip GET http://blog.feei.cn/nevercouldexistfilenosec.zip GET http://blog.feei.cn/nevercouldexistfilewebsec.zip GET http://blog.feei.cn/nevercouldexistfilenosec.php GET http://blog.feei.cn/nevercouldexistfilewebsec.php GET http://blog.feei.cn/nevercouldexistfilenosec.bak GET http://blog.feei.cn/nevercouldexistfilewebsec.bak GET http://blog.feei.cn/nevercouldexistfilenosec.rar GET http://blog.feei.cn/nevercouldexistfilewebsec.rar GET http://blog.feei.cn/ PUT http://blog.feei.cn/jsky_web_scanner_test_file.txt zwell@nosec.org GET http://blog.feei.cn/jsky_web_scanner_test_file.txt GET http://blog.feei.cn/ GET http://blog.feei.cn/wp-admin GET http://blog.feei.cn/admin.php GET http://blog.feei.cn/nosec_Web_Scanner_Test.dll GET http://blog.feei.cn/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/boot.ini GET http://blog.feei.cn/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fwindows/win.ini GET http://blog.feei.cn/dede/
等检测完,过滤分析请求日志,统计扫描规则多达数千条。 并且,我从请求日志发现一条惊人的规则:
POST http://blog.feei.cn/bocadmin/j/uploadify.php ----------------------------- Content-Disposition: form-data; name="folder" / ----------------------------- Content-Disposition: form-data; name="Filedata"; filename="scan_upload.txt" Content-Type: text/plain This is a txt ,please delete it and scan website again --by webscan ----------------------------- Content-Disposition: form-data; name="submit"
3 意外发现
bocadmin/j/uploadify.php
, 这条规则是我曾经白盒审计时发现的一个任意文件上传漏洞,影响数十家大型集团、企业官网,当时报给了补天。 也就是说,补天会将所有的漏洞利用规则添加进360网站安全里面去。 而补天的漏洞是不对第三者公开的,那如果这样的话,就可以利用上面方式收集所有未公开的漏洞检测方法,甚至是漏洞利用方式。并且用同样的方法去收集类似百度安全宝、唐朝安全扫描等等的规则集。