中国实战化白帽人才能力白皮书.pdf_报告吧baogao8.com-

资源描述

1 中国实战化白帽人才能力白皮书 2021.1 补天漏洞响应平台奇安信安服团队奇安信行业安全研究中心 i 专家点评红蓝对抗和实战化渗透，近年来受到越来越多企业的重视，也成为企业安全体系建设不可或缺的重要环节。尤其是每年的大型网络安全实战攻防演习更催生了行业对白帽子群体的关注和需求，也对白帽子能力提出了更高的要求。补天的实战化白帽能力白皮书是一个很好的行业尝试，可以作为白帽子群体能力发展的一个很好的参考，也可以为初学者答疑解惑，指明方向。 Tencent Blade Team 技术负责人张博 (cradmin) 补天平台作为国内最大的漏洞平台，拥有超过 7.4 万名白帽子，每年发放超过数千万漏洞奖金，收获数十万漏洞信息，基于这些数据和实践，补天平台对白帽子的等级、能力模型进行整理并发布本报告，报告中包含了不同等级白帽子所需要具备的能力、以及成长路径规划，对于即将成为白帽子或者希望可以成为更有实战化能力的白帽子来说非常具有参考价值。字节跳动安全中心负责人林伟随着高级持续性威胁的增长，实战攻防技术的发展，传统的基于 OWASP TOP 10 以及 PTES 的渗透测试已经不再能满足各企事业单位对于网络防护能力、检测能力和响应能力的评估需求。因此网络安全检测应该与时俱进，将实战化的网络安全评估能力纳入到范畴当中，很欣喜能够看到补天作为国内影响力极高的漏洞响应平台能够在此做深入的思考和尝试，也将白帽子带到一个更高的实战能力水平上来。京东安全攻防对抗组负责人叶猛这几年安全行业越来越成熟化，法律体系也在不断的完善，过了行业发展的野蛮期实战的机会变少了，实战性的人才也就跟着少了，大部分的白帽子都是通过“授权测试”和“打靶场”的方式获得有限的技术成长，再加上自动化工具越来越精细，白帽子变得“越来越懒”的同时也越来越迷茫，补天这一次从行业里开了一个好头，给更多想成为真正实战性人才的白帽子们，构建了一个更系统化的学习成长轨迹。网络尖刀团队创始人曲子龙补天作为国内当下聚集白帽子最多的平台，对如此庞大的用户人群进行数据分析并制定相关标准是极具说服力的。该白皮书涵盖了白帽子年龄、学历、工作与否和年限，以及实战化能力的分级，因此对白帽级别的划分以及企业所需人才的分析便显得更具分量。真正是该行业下的企业、学习者以及感兴趣人群值得一看的内容。 ChaMd5 安全团队创始人 M ii 主要观点白皮书结合补天漏洞响应平台白帽培养实践经验及奇安信集团安服团队蓝队攻防实战经验，首次提出了实战化白帽人才能力的基本概念，并系统性地给出了实战化白帽人才能力图谱。图谱为实战化白帽人才的系统性培养，以及白帽人才的自主学习，提供了重要的科学参考依据。实战化白帽人才能力，是指在政企机构实际运行的业务系统、生产系统上进行的实战攻防演习过程中，作为攻击方的白帽子所需要具备各种攻防能力的集合。与传统的挖洞型白帽人才能力要求不同，实战化能力要求白帽子具备在真实的业务系统上，综合利用各种技术和非技术手段，进行动态实战攻防的能力。白皮书将实战化白帽人才能力分为 3 个级别、 14 大类、 85 项具体技能。其中，基础能力 2 类 20 项、进阶能力 4 类 23 项、高阶能力 8 类 42 项。补天漏洞响应平台针对具有实战攻防演习经验的 645 位高级白帽子的调研显示：目前国内白帽子人群所掌握的实战化攻防能力，仍主要集中在基础能力方面；而具备高阶能力的白帽人才则十分稀缺，特别是不同平台程序的分析能力、在系统层漏洞的挖掘与利用，以及相应的 PoC 或 EXP 的编写等方面，相关人才更是凤毛麟角。 iii 摘要从行业分布来看， 36.3%的白帽子来自于安全企业， 34.9%的白帽子仍是学生， 7.1% 的白帽子来自政府机构事业单位。从年龄分布来看，近半数的白帽子年龄在 22 岁及以下； 35.7%的白帽子年龄在 23- 27 岁。从学历来看，本科及以下学历超过 9 成。其中，本科学历占比 36.3%，本科在读占比 21.9%，还有 24.5%的白帽子为大专学历。从从业时间来看，进入安全行业 1-3 年的白帽子最多，占比 51.2%；其次为拥有 4- 6 年安全从业经验的白帽子，占比 21.2%。本次调研显示， 55.8%的白帽子目前仍然处于 “无证上岗 ” 的状态。 2020年实战化白帽人才基础能力中，平均每个白帽子掌握 4个 Web漏洞利用方式；会使用 6 个安全工具。 2020 年实战化白帽人才进阶能力中，平均每个白帽子掌握 3 个 Web 漏洞的挖掘能力，能够使用 2 种编程语言对 Web 开发和编程，更擅长使用社工库与鱼叉邮件进行社工钓鱼。 2020 年实战化白帽人才高阶能力较弱，系统层漏洞利用与防护、系统层漏洞挖掘以及对不同系统编写 PoC 或 EXP 等高级利用能力掌握不够，相比之下，多数白帽子身份隐藏与内网渗透能力掌握较好。约 74.0%的白帽子具有组队参加有关部门组织的实战攻防演习活动的经验， 19.4%的白帽子表示自己能够胜任团队协作中的任意角色。关键字：实战化、白帽子、攻防演习、能力图谱、漏洞挖掘、社工钓鱼、内网渗透 4 目录主要观点 . II 摘要 . III 研究背景 . 1 第一章中国白帽人才基本情况 . 2 一、行业分布 . 2 二、年龄与学历 . 2 三、从业时长 . 3 四、技能证书 . 4 第二章实战化白帽人才能力需求 . 5 一、实战化能力与传统能力的区别 . 5 二、实战化能力的分级与分类依据 . 6 三、实战化白帽人才能力需求图谱 . 6 第三章中国白帽人才能力现状 . 9 一、基础技能 . 9 二、进阶能力 . 10 三、高阶能力 . 11 四、总结 . 13 附录 1 实战化白帽人才能力各项技能详解 . 15 一、基础能力 . 15 二、进阶能力 . 18 三、高阶能力 . 20 附录 2 补天漏洞响应平台 . 29 附录 3 奇安信蓝队能力及攻防实践 . 30 合作伙伴 . 31 1 研究背景白帽子，在很多人心中的印象就是挖洞高手。但随着网络安全实践工作的持续深入发展，白帽子已经成为了各项网络安全工作中不可或缺的关键要素。特别是近年来持续深入开展的网络安全实战攻防演习工作，对作为蓝队核心的白帽子，提出了越来越高的实战化能力要求。要求白帽子具备在实战对抗环境和实际业务环境中，实现有效的攻击的能力，并能够由此发现目标机构存在的安全问题或安全隐患。实战化，对白帽子能力的要求更高，也更全面。一方面，对于具备实战化运行能力的大型政企机构来说，很多低级的安全漏洞早已修复，想要实现有效攻击，就必须具备发现某些高级安全漏洞的能力；另一方面，单纯知道某个漏洞的存在也不等于能够实现有效的攻击，白帽子还必须具备在实战化的业务环境下，实现漏洞有效利用的能力，这就要求白帽子具有社工能力、协作能力、业务分析能力等多种安全能力。从实际工作需要出发，我们发现，目前国内白帽子的实战化能力还很不全面，存在诸多短板。绝大多数白帽子的能力集中于 Web 漏洞的挖掘与利用这样的初级或中级能力，而对于系统层漏洞挖掘、 CPU 指令集、编写 POC 或 EXP 等中高级能力，则存在明显的人才缺失。为提升国内白帽子群体的整体能力水平，适应日益重要的攻防演习实战需求，补天漏洞响应平台联合奇安信安服团队和奇安信行业安全研究中心，结合 1900 余个目标系统的攻防实战经验，首次系统性地总结了 “实战化白帽子能力需求图谱” ，并据此针对补天平台选取了 645 名白帽子进行了能力调研，形成了中国实战化白帽人才能力白皮书。在接受本次调研的白帽子中，约 74.0%的白帽子参加过有关部门组织的实战攻防演习活动。希望此项研究成果能够对安全行业的实战化白帽子人才发展及能力培养有所帮助。 2 第一章中国白帽人才基本情况在实战化白帽子能力调研过程中，课题组同时也对白帽子的一些基本状况进行了调研，包括行业分布、年龄与学历、从业时间、以及技能证书等几个方面。一、行业分布从行业分布来看， 36.3%的白帽子来自于安全企业， 34.9%的白帽子仍是学生， 7.1%的白帽子来自政府机构事业单位。可见，白帽子由于其所需技能及时间耗费，更多集中在专业对口的安全企业从业者或精力充沛的学生党。二、年龄与学历从年龄分布来看，近半数的白帽子年龄在 22岁及以下； 35.7%的白帽子年龄在 23-27岁。 3 从学历来看，本科及以下学历超过 9 成。其中，本科学历占比 36.3%，本科在读占比 21.9%，还有 24.5%的白帽子为大专学历。三、从业时长由于白帽子需要有一定安全基础，需要花费时间学习和锻炼才能成为真正的白帽子。从从业时间来看，进入安全行业 1-3 年的白帽子最多，占比 51.2%；其次为拥有 4-6 年安全从业经验的白帽子，占 21.2%，具体分布如下图所示。 4 四、技能证书技能证书可以在一定程度上体现网络安全工作者的技能水平，对求职和就业有很大的帮助。因此，很多网络安全从业者都会考取 CISP、 CISP-PTE、 CISSP、 OSCP Security+等专业技能证书。不过，本次调研显示， 55.8%的白帽子目前仍然处于 “无证上岗 ” 的状态。 5 第二章实战化白帽人才能力需求本章主要介绍实战化白帽人才能力的基本概念及其与传统白帽能力的区别，给出能力分级和分类的依据，并最终给出本白皮书整理的完整能力图谱。一、实战化能力与传统能力的区别实战化白帽人才能力，是指在政企机构实际运行的业务系统、生产系统上进行的实战攻防演习过程中，作为攻击方的白帽子所需要具备各种攻防能力的集合。由于实战攻防演习是对真实黑客攻防过程进行模拟和再现，因此也要求白帽子在攻击过程中所使用的战术手法能够达到、甚至超过黑产组织或 APT 组织的攻击水平。与传统的挖洞型白帽人才能力要求不同，实战化能力要求白帽子具备在真实的业务系统上，综合利用各种技术和非技术手段，进行动态实战攻防的能力。具体来说，主要有以下几个方面特点： 1）针对业务系统，而非 IT 系统传统的或一般的白帽子挖洞工作，主要都是针对各类 IT 信息系统本身或系统中的设备、协议等，如各类 Web 系统、操作系统、 PC 终端、 IoT 设备、工控设备协议、区块链协议等等。而实战攻防演习工作的核心目标，是发现和解决由网络安全问题引发的业务安全及生产安全问题，攻击过程也是针对实际运行中的业务系统或生产设备。此外，传统的挖洞工作主要关注的是对单一系统的单点突破，实战攻防演习更多关注的则是多个系统并存的复杂体系，关注的是复杂体系在运行、管理过程中存在的安全隐患。对于多数大中型政企机构来说，内部存在几十个，甚至上百个不同的信息化系统的情况是非常普遍的。 2）挖洞只是辅助，攻击必须有效单纯的挖洞工作，一般只需证明漏洞的存在，提交漏洞报告即可。但在实战化的业务环境中，存在漏洞不等于能够实现有效的攻击。一方面，这是因为漏洞的实际触发可能依赖于诸多条件，这些条件在实际的业务环境中未必存在；另一方面，即便漏洞是有效的，但如果攻击者只能实现单点突破，而无法达到预设的最终目标，同样不能完成有效的攻击。 3）攻击是个过程，允许社工方法对单一漏洞进行挖掘和利用，往往只能实现某个局部的技术目标。但事实上，在绝大多数的实战攻防演习过程中，攻击方需要连续突破多个外围系统或关联系统，才能最终达到计划中的攻击目标。也就是说，攻击者需要掌握一系列的漏洞，并能够对机构内部的 IT 架构、运行管理机制进行有效分析，才有可能找到有效的攻击路径，实现实战攻防演习环境下的有效攻击。事实上，在实战攻防演习过程中，攻击方可能需要连续数日，多人协作才能完成一整套攻击。此外，一般的漏洞挖掘或渗透测试，是不允许使用社会工程学方法的。但在实战化环境下，社会工程学是必不可少的攻击手法，因为真实的攻击者一定会使用这项技能。事实上，以人为突破口，往往是实战攻防演习中攻击队的优先选择。 6 4）动态攻防环境，有人运行值守单纯的漏洞挖掘工作一般不需要考虑攻防过程，也就是不需要考虑防守方的参与。但在实战攻防演习过程，防守方实际上是有专业团队在进行安全运行维护和 24 小时值守工作的。攻击方一旦开始行动，就有可能被防守方发觉。而防守方一旦发现入侵行为，也会采取各种反制措施、诱捕行动，以及攻击溯源。所以，实战化能力就要求白帽子必须掌握一定的身份隐藏技能，诸如匿名网络、免杀技术、权限维持等各种安全对抗技术。二、实战化能力的分级与分类依据实战化白帽人才能力可以依据不同的能力级别和技能类型进行划分。在本白皮书中，我们主要是综合考虑了掌握技能的难易程度、市场人才的稀缺程度，以及实战化能力的有效性这三个方面的因素，将白帽子的实战化能力从低到高依次划分为基础能力、进阶能力和高阶能力。 1) 掌握技能的难易程度不同的能力，学习和掌握的难易程度也不同。而技能的难易程度是能力定级的首要因素。例如， Web 漏洞利用就相对容易，而 Web 漏洞挖掘就要困难一些，系统层漏洞的挖掘则更为困难。所以，这三种能力也就分别依次被列入了基础能力、进阶能力和高阶能力。 2) 市场人才的稀缺程度人才的稀缺程度，也是能力定级的重要参考因素。例如，在所有白帽子中，掌握系统层漏洞利用的人平均来说只有 1 成左右；在 iOS 系统中，会编写 POC 或 EXP 的白帽子，也相对少见。因此，这些能力就被归入了高阶能力。 3) 实战化能力的有效性总体而言，越是相对高阶的能力，防守方越难以防御和发现，其在实战攻防演习过程中发挥实效的几率也就越大。接下来说分类问题。从不同的视角出发，我们可以对实战化能力进行不同的分类。而本白皮书所采用分类方法，主要考虑了以下几个方面的因素： 1) 只针对实战化过程中，最主要、最实用的能力进行分类，边缘技能暂未列入分类； 2) 不同的能力分类之间，尽量相互不交叉； 3) 分类与分级兼顾，同一领域的不同能力，如果分级不同，则作为不同的分类； 4) 将挖掘、利用、开发、分析等能力作为不同的技能来分类。比如，同样是 Web 系统，漏洞利用、漏洞挖掘、开发与编程，都是不同的能力分类。三、实战化白帽人才能力需求图谱以前述分级与分类原则为基础，本白皮书将实战化白帽人才能力分为 3 个级别、 14 大类、 85 项具体技能。其中，基础能力 2 类 20 项，进阶能力 4 类 23 项，高阶能力 8 类 42 项。下图是汇集了上述所有信息的 2020 年实战化白帽人才能力图谱。 7 关于图中各项基本技能的具体含义，详见本白皮书附录 1：实战化白帽人才能力各项技能详解。（一）基础能力基础能力主要包括 Web 漏洞利用与基础安全工具使用两类。 1） Web 漏洞利用主要包括命令执行、 SQL 注入、代码执行、逻辑漏洞、解析漏洞、信息泄露、 XSS、配置错误、弱口令、反序列化、文件上传与权限绕过等漏洞。 2）基础安全工具使用主要包括 Burp Suite、 Sqlmap、 AppScan、 AWVS、 Nmap、 Wireshark、 MSF、 Cobalt Strike 等安全工具。（二）进阶能力进阶能力主要包括 Web 漏洞挖掘、 Web 开发与编程、编写 PoC 或 EXP 等利用、社工钓鱼四类。 1） Web 漏洞挖掘主要包括命令执行、 SQL 注入、代码执行、逻辑漏洞、解析漏洞、信息泄露、 XSS、配置错误、弱口令、反序列化、文件上传与权限绕过等漏洞。 8 2） Web 开发与编程主要包括 Java、 PHP、 Python、 C/C+、 Golang 等编程语言的使用。 3）编写 PoC 或 EXP 等利用主要包括针对 Web 漏洞、智能硬件 /IoT 漏洞等系统环境的漏洞编写 PoC 或者 EXP。 4）社工钓鱼主要包括开源情报收集、社工库收集、社交钓鱼和鱼叉邮件等几类社工钓鱼技能。（三）高阶能力高阶能力主要包括系统层漏洞利用与防护、系统层漏洞挖掘、身份隐藏、内网渗透、掌握 CPU 指令集、高级安全工具、编写 PoC 或 EXP 等高级利用、团队协作八大类。 1）系统层漏洞利用与防护主要包括 SafeSEH、 DEP、 PIE、 NX、 ASLR、 SEHOP、 GS 等。 2）系统层漏洞挖掘主要包括代码跟踪、动态调试、 Fuzzing 技术、补丁对比、软件逆向静态分析、系统安全机制分析等。 3）身份隐藏主要包括匿名网络（如 Tor）、盗取他人 ID/账号、使用跳板机、他人身份冒用几类身份隐藏技能。 4）内网渗透主要包括工作组与域环境渗透方法、横向移动、内网权限维持 /提权、数据窃取、免杀等方法。 5）掌握 CPU 指令集主要包括 x86、 MIPS、 ARM、 PowerPC 等指令集。 6）高级安全工具主要包括 IDA、 Ghidra、 binwalk、 OllyDbg、 Peach fuzzer 等高级安全工具；编写 PoC 或 EXP 等高级利用包括： Android、 iOS、 Linux、 macOS、网络安全设备等系统的编写。 7）编写 PoC 或 EXP 等高级利用主要包括在 Android、 iOS、 Linux、 macOS、网络安全设备等操作系统上找到漏洞并编写 PoC 或 EXP 的能力。 8）团队协作主要包括行动总指挥、情报收集、武器装备制造、打点实施、社工钓鱼、内网渗透等。 9 第三章中国白帽人才能力现状 2020 年 11-12 月，我们邀请了补天漏洞响应平台上 645 名白帽子进行了一次 “ 中国白帽人才能力现状 ” 调研。但受到当时条件限制，部分类型数据没能调研完整，文中标记为“暂无数据”。我们会在后续的持续调研过程中逐步补全所有数据。一、基础技能（一） Web 漏洞利用实战化白帽人才对不同类型 Web 漏洞利用的掌握情况如表 1 所示。表 1 2020 年实战化白帽子 Web 漏洞利用能力的掌握情况漏洞类型掌握该技能的白帽子占比命令执行 48.4% 代码执行 41.7% 解析漏洞暂无数据 XSS 62.2% 弱口令暂无数据文件上传暂无数据 SQL 注入 73.0% 逻辑漏洞暂无数据信息泄露 60.3% 配置错误暂无数据反序列化暂无数据权限绕过 56.1% （二）基础安全工具实战化白帽人才对基础安全工具的掌握情况如表 2 所示。表 2 2020 年实战化白帽子基础安全工具的掌握情况基础安全工具掌握该技能的白帽子占比 Burp Suite 95.2% AppScan 58.8% Nmap 88.5% Wireshark 66.8% Sqlmap 91.3% AWVS 73.3% 10 MSF 68.4% Cobalt Strike 53.5% 二、进阶能力（一） Web 漏洞挖掘针对不同漏洞的 Web 漏洞挖掘能力掌握情况如表 3 所示。表 3 2020 年实战化白帽子 Web 漏洞挖掘能力的掌握情况漏洞类型掌握该技能的白帽子占比命令执行 33.9% 代码执行 29.2% 解析漏洞暂无数据 XSS 43.5% 弱口令暂无数据文件上传暂无数据 SQL 注入 51.1% 逻辑漏洞暂无数据信息泄露 42.2% 配置错误暂无数据反序列化暂无数据权限绕过 39.3% （二） Web 开发与编程针对不同开发语言环境下的 Web 开发与编程，实战化白帽人才掌握情况如表 4 所示。表 4 2020 年实战化白帽子 Web 开发与编程能力的掌握情况 Web 开发与编程掌握该技能的白帽子占比 Java 27.1% PHP 44.2% Python 66.5% C/C+ 21.7% Golang 11.2% 熟悉语言但不会开发 32.3% 其他 7.0% （三）编写 PoC 或 EXP 等利用在进阶能力中， PoC 或 EXP 等利用主要针对的是 Web 漏洞、智能硬件 /IoT 漏洞等系统环境等。但受到调研条件限制，针对上述相关项目，暂无数据。 11 （四）社工钓鱼社工钓鱼主要为以下四大类，实战化白帽人才对社工钓鱼方法的掌握情况如表 4 所示。表 5 2020 年实战化白帽子社工钓鱼能力的掌握情况社工钓鱼掌握该技能的白帽子占比开源情报收集 39.2% 社工库收集 69.9% 鱼叉邮件 60.9% 社交钓鱼 25.0% 其他 3.0% 都没用过 18.1% 三、高阶能力（一）系统层漏洞利用与防护针对系统层漏洞的利用与防护，实战化白帽人才对不同系统层安全机制的掌握情况如表 6 所示。表 6 2020 年实战化白帽子系统层漏洞利用与防护能力的掌握情况基础安全工具掌握该技能的白帽子占比 SafeSEH 16.6% DEP 15.4% PIE 13.8% NX 13.2% ASLR 13.8% SEHOP 8.5% GS 11.2% 都没用过 64.0% 其他 5.3% （二）系统层漏洞挖掘针对系统层漏洞挖掘，实战化白帽人才对不同漏洞挖掘技能的掌握情况如下表 7 所示。表 7 2020 年实战化白帽子系统层漏洞挖掘能力的掌握情况漏洞挖掘技能掌握该技能的白帽子占比代码跟踪 29.5% 动态调试 27.1% Fuzzing 技术 37.8% 12 补丁对比 14.7% 软件逆向静态分析 24.2% 系统安全机制分析暂无数据都不擅长 35.0% 其他 3.9% （三）身份隐藏实战化白帽人才对身份隐藏方法的掌握情况如表 8 所示。表 8 2020 年实战化白帽子身份隐藏能力的掌握身份隐藏方法掌握该技能的白帽子占比匿名链路（如 Tor） 66.8% 盗取他人 ID/账号 26.2% 使用跳板机 51.4% 他人身份冒用 33.3% 都没用过 17.4% 其他 2.5% （四）内网渗透实战化白帽人才对内网渗透的方法掌握情况如表 9 所示。表 9 2020 年实战化白帽子内网渗透能力的掌握内网渗透方法掌握该技能的白帽子占比工作组、域环境渗透 72.6% 内网权限维持 /提权 74.0% 横向移动 55.0% 数据窃取 44.2% 免杀 52.9% 都没用过 10.7% 其他 2.3% （五）掌握 CPU 指令集实战化白帽人才对不同 CPU 指令集的掌握情况如表 10 所示。表 10 2020 年实战化白帽子 CPU 指令集的掌握 CPU 指令集掌握该技能的白帽子占比 x86 39.4% MIPS 5.4% ARM 14.1% Alpha 7.0% 其他 4.7% 13 都不会 50.9% （六）高级安全工具白帽人才对高级安全工具的掌握情况如表 11 所示。表 11 2020 年实战化白帽子高级安全工具的掌握高级安全工具掌握该技能的白帽子占比 IDA 36.7% Ghidra 9.8% Binwalk 31.0% OllyDbg 27.9% Peach fuzzer 14.0% （七）编写 PoC 或 EXP 等高级利用实战化白帽人才在不同系统下的编写 PoC 或 EXP 等高级利用掌握情况如表 12 所示。表 12 2020 年实战化白帽子编写 PoC 或 EXP 等高级利用的掌握操作系统掌握该技能的白帽子占比 Android 14.7% iOS 5.0% Linux 12.9% macOS 3.1% 网络安全设备 19.0% 都不会 11.3% （八）团队协作与角色在接受本次调研的 645 名白帽子中，约 74.0%的白帽子具有组队参加有关部门组织的实战攻防演习活动的经验， 19.4%的白帽子表示自己能够胜任团队协作中的任意角色。在团队协作中，有过各种角色实战经验的白帽子占比如表 13 所示。表 13 2020 年实战化白帽子在团队协作中担任过的角色分布情况团队协作中的角色有相关角色实战经验的白帽子占比行动总指挥 24.3% 情报收集 43.0% 武器装备制造（漏洞挖掘、工具开发） 23.1% 打点实施（获取接入点、 Web 渗透等） 55.2% 社工钓鱼 25.0% 内网渗透 26.7% 其他 4.7% 四、总结 14 下图是汇集了上述所有信息的， 2020 年实战化白帽人才能力现状。 15 附录 1 实战化白帽人才能力各项技能详解一、基础能力（一） Web 漏洞利用利用 Web 系统或软件的安全漏洞实施网络攻击的能力。由于 Web 系统是绝大多数机构业务系统或对外服务系统的构建形式，所以 Web 漏洞利用也是最常见，最基础的网络攻击形式之一。在实战攻防演习中，白帽子最为经常利用的 Web 漏洞形式包括：命令执行、代码执行、解析漏洞、 XSS、弱口令、文件上传、 SQL 注入、逻辑漏洞、信息泄露、配置错误、反序列化、权限绕过等。 1）命令执行命令执行漏洞，是指黑客可以直接在 Web 应用中执行系统命令，从而获取敏感信息或者拿下 Shell 权限的安全漏洞。造成命令执行漏洞最常见的原因是 Web 服务器对用户输入命令的安全检测不足，导致恶意代码被执行。命令执行漏洞常常发生在各种 Web 组件上，包括 Web 容器、 Web 框架、 CMS 软件、安全组件等。 2）代码执行代码执行漏洞，是指通过构造特殊的语句或数据，使软件可以在设计流程之外，执行特定函数或命令的安全漏洞。造成代码执行漏洞的主要原因是，开发人员在编写代码时，没有充分校验输入数据的合法性。 3）解析漏洞解析漏洞，是指服务器应用程序在解析某些精心构造的后缀文件时，会将其解析成网页脚本，从而导致网站沦陷的漏洞。大部分解析漏洞的产生都是由应用程序本身的漏洞导致的。此类漏洞中具有代表性的便是 IIS6.0 解析漏洞，此漏洞又有目录解析和文件解析两种利用方式，但也有少部分是由于配置的疏忽所产生的。 4） XSS XSS，全称为 Cross Site Scripting，意为跨站脚本攻击，为了和更加常用的 CSS （ Cascading Style Sheets，层叠样式表）有所区分，特别简写为 XSS。 XSS 攻击，通常是指通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript，但实际上也可以包括 Java、 VBScript、 ActiveX、 Flash 或某些普通的 HTML 等。攻击成功后，攻击者可能得到更高的权限（如执行一些操作）、私密的网页内容、会话信息和 Cookie 等各种用户敏感信息。最早期的 XSS 攻击示例大多使用了跨站方法，即：用户在浏览 A 网站时，攻击者却可以通过页面上的恶意代码，访问用户浏览器中的 B 网站资源（如 Cookie 等），从而达到攻击目的。但随着浏览器安全技术的进步，早期的跨站方法已经很难奏效， XSS 攻击也逐渐和 “ 跨站 ” 的概念没有了必然的联系。只不过由于历史习惯， XSS 这个名字一直被延用了下来，现如今用来泛指通过篡改页面，使浏览器加载恶意代码的一种攻击方法。 16 在本文中，白帽子的 XSS 能力，是指白帽子能够发现软件或系统的设计缺陷或安全漏洞，构造 XSS 攻击代码，实现网络攻击的技术能力。 5）弱口令弱口令也是安全漏洞的一种，是指系统登录口令的设置强度不高，容易被攻击者猜到或破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形式包括：系统出厂默认口令没有修改；密码设置过于简单，如口令长度不足，单一使用字母或数字；使用了生日、姓名、电话号码、身份证号码等比较容易被攻击者猜到的信息设置口令；设置的口令属于流行口令库中的流行口令。 6）文件上传文件上传漏洞，是指可以越权或非法上传文件的安全漏洞。攻击者可以利用文件上传漏洞将恶意代码秘密植入到服务器中，之后再通过远程访问去执行恶意代码，达到攻击的目的。 7） SQL 注入 SQL，是 Structured Query Language 的缩写，意为结构化查询语言。 SQL 注入漏洞，是最常见的安全漏洞形式之一，是指通过构造特定的 SQL 语句，可以实现对数据库服务器的非授权查询，进而造成数据库数据泄露的安全漏洞。 SQL 注入漏洞产生的主要原因是软件系统对输入数据的合法性缺少校验或过滤不严。 8）逻辑漏洞逻辑漏洞，是指由于程序设计逻辑不够严谨，导致一些逻辑分支处理错误，或部分流程被绕过，进而引发安全风险的安全漏洞。 9）信息泄露信息泄露漏洞，是指造成系统或服务器中，本应被保护或不可见的敏感信息被意外泄露的安全漏洞。这些信息包括账号密码、系统配置、运行状态、关键参数、敏感文件内容等。造成信息泄露漏洞的主要原因包括运维操作不当、系统代码不严谨等。 10）配置错误配置错误，是指由软件或系统的配置不当导致安全风险的安全漏洞。例如，文件的或服务的访问权限、可见范围配置不当，网络安全规则的设置错误等，都有可能使系统处于暴露或风险之中。配置错误的本质是系统的使用或运维不当，而不是系统的设计或开发问题。造成配置错误的主要原因是运维人员的疏忽或专业技能不足。 11）反序列化反序列化漏洞，是指反序列化过程可以被操控或篡改，进而引发恶意代码执行风险的安全漏洞。序列化和反序列化都是基础的计算机技术。序列化就是把计算机中的 “ 对象 ” 转换成字节流，以便于存储的一种方法。反序列化是序列化的逆过程，即将字节流还原成 “ 对象 ” 。在反序列化过程中，如果输入的字节流可以被控制或篡改，就有可能产生非预期的 “ 对象 ” 。这就是反序列化漏洞。此时，攻击者通过构造恶意字节流输入，就可以在反序列化过程中，在对象被还原的过程中，使系统执行恶意代码。 12）权限绕过权限绕过漏洞，是指可以绕过系统的权限设置或权限管理规则执行非法操作的安全漏洞。造成权限绕过漏洞的主要原因是，软件或系统的开发人员对数据处理权限的设计或判定不严谨、不全面。 17 （二）基础安全工具 1） Burp Suite Burp Suite 是一个常用的 Web 攻击工具的集合平台，经常被安全工作者用来测试 Web 系统安全性，也是实战攻防演习中攻击队的常用平台。使用者通过平台集成的工具，既可以对目标发起手动攻击，也可以自定义规则发起自动攻击；既可以探测和分析目标漏洞，也可以使用爬虫抓取和搜索页面内容。 2） AppScan AppScan 是 IBM 公司推出的一款 Web 应用安全测试工具，采用黑盒测试的方式，可以扫描常见的 Web 用安全漏洞。 AppScan 功能比较齐全，支持登录、报表等功能。在扫描结果中，不仅能够看到 Web 应用被扫出的安全漏洞，还提供了详尽的漏洞原理、修改建议、手动验证等功能。在实战攻防演习中， AppScan 是一个很方便的漏洞扫描器。 3） Nmap Nmap 是 Network Mapper 的缩写，意为网络映射器，是一款开放源代码的网络探测和安全审核的工具。它的设计目标是快速地扫描大型网络，但也可以用于扫描单个主机。 Nmap 使用原始 IP 报文来发现网络上有哪些主机，每台主机提供什么样的服务，哪些服务运行在什么操作系统上，这些主机使用了什么类型的报文过滤器或防火墙等。虽然 Nmap 通常用于安全审核，但许多系统管理员和网络管理员也用它来做一些日常的工作，比如查看整个网络的信息，管理服务升级计划，以及监视主机和服务的运行。在实战攻防演习中， Nmap 常用来对目标系统进行资产分析。 4） Wireshark Wireshark 是一个免费开源的网络数据包分析软件，它可以帮助网络管理员检测网络问题，帮助网络安全工程师检查信息安全相关问题。在实战攻防演习中，数据包分析也是非常重要的基础工作。 5） Sqlmap Sqlmap 是一个开源的渗透测试工具，可以用来进行自动化检测。 Sqlmap 可以利用常见的 SQL 注入漏洞，获取数据库服务器的权限。 Sqlmap 还具有功能比较强大的检测引擎 ,可提供针对各种不同类型数据库的渗透测试的功能选项，包括获取数据库中存储的数据，访问操作系统文件，甚至可以通过外带数据连接的方式执行操作系

展开阅读全文