[零信任]黑盒PAYLOAD 生成技法.pdf -附下载-基础架构安全

信息安全 2021-09-14 03:30:37

黑盒PAYLOAD 生成技法

这个议题来自于滴滴的高级安全工程师Gaba。Gaba在渗透测试、黑白盒漏洞扫描等领域深耕多年,是不折不扣的老司机。他带领的滴滴黑盒测试研发团队,经过不断的改进、探索,使自动化的黑盒扫描漏洞检出率提高到了95%以上,成效斐然。他以常见的逻辑漏洞为例,步步深入的介绍了如何进行测试请求模板的设计。黑盒测试的核心,是对请求参数的抽象,通过建立规则集,实现对请求参数的污染性的渲染,并对Response进行分析,从而实现黑盒测试的结果验证。而整个过程的核心就在于如何建立场景规则集,Gaba提到了几种方式,包括人为总结(自定义)、参数黑白名单、根据类型进行排列组合、根据历史记录进行范围调整等。面对“东北人不脱貂”而淋漓大汗的Gaba,混迹于各大SRC的知名白帽子Alice也谈了自己对于扫描器优化的看法,例如历史常见漏洞参数的收集、枚举,了解鉴权参数的设计方案,静态页面排除优化等,可以减少无用的扫描请求,从而实现扫描器效率的提升。 •常规的黑盒扫描流程 •常见Payload 基本原则 •逻辑漏洞检测策略 •核心检测原理 •重新抽象 •模版与渲染

下载地址:https://download.csdn.net/download/testvaevv/20904956

 

...全文
浏览 点赞 收藏 回复
写回复
回复
切换为时间正序
请发表友善的回复…
发表回复

还没有回复,快来抢沙发~

发帖
下载资源悬赏专区
创建于2007-03-31

8467

社区成员

CSDN 下载资源悬赏专区
申请成为版主
帖子事件
创建了帖子
2021-09-14 03:30
社区公告
暂无公告