奇安信：2023中国实战化白帽人才能力白皮书 -pg电子娱乐平台

中国实战化白帽人才能力白皮书2023.12补天漏洞响应平台第一章实战化白帽人才能力变化趋势错误!未定义书签。第二章实战化白帽人才能力现状分析错误!未定义书签。第三章总结错误!未定义书签。附录1实战化白帽人才能力各项技能详解11附录2补天漏洞响应平台21附录3奇安信蓝队能力及攻防实践22研究背景实战化能力，是网络安全实战化发展对白帽子攻防能力的必然要求。相比于单纯的挖洞能力，白帽子的实战化能力有以下几方面的特点：1）攻防过程针对的是业务系统，而并非单纯的it系统。2）挖洞只是攻防过程中的辅助，攻击必须要有实际效果。3）针对系统的攻击是一个过程，技术之外允许使用社工。4）实战在动态攻防环境中进行，目标系统有人运行值守。2021月，补天漏洞响应平台、奇安信安服团队、奇安信行业安全研究中心首次联合发布的《中国实战化白帽人才能力白皮书（2020）》（简称：《白皮书（2020）》）。《白皮书（2020》结合1900余个目标系统的攻防实战经验，首次提出了实战化白帽人才能力的概念，并给出了“实战化白帽人才能力图谱”。图谱详细列举了白帽人才在实战化过程中，所需要掌握的3个级别、14个大类、87具体能力。白皮书还对每一项技能的含义与要求，进行了详细的说明。以图谱为基础，我们对645名白帽子进行了实战化能力调研。《白皮书（2020》对实战化白帽人才的能力培养给出了明确的指导方向和市场分析，引起了大量用人单位、教育机构、特别是白帽子群体的高度关注和认可。2023月，补天漏洞响应平台再次对平台上活跃的518名白帽子进行了实战化能力调研，并以此次调研为基础，撰写了《中国实战化白帽人才能力白皮书（2023）》（简称：《白皮书（2023）》），希望能够对提升国内白帽子群体的整体能力水平，促进安全行业的实战化白帽子人才发展及能力培养工作有所帮助。报告详细内容将于2023年12月22日发布，敬请期待特别说明，《白皮书（2023）》“实战化白帽人才能力图谱”由3个级别、14个大类、87项具体能力集合而成。如下图所示。附录1实战化白帽人才能力各项技能详解基础能力基础能力是比较初级的实战化白帽能力，学习和掌握相对容易，通常也是其他各类高级实战化技能学习和实践的基础能力。基础能力主要包括web漏洞利用与基础安全工具使用两类。（一）web漏洞利用web漏洞利用能力是指利用web系统或软件的安全漏洞实施网络攻击的能力。由于web系统是绝大多数机构业务系统或对外服务系统的构建形式，所以web漏洞利用也是最常见，最基础的网络攻击形式之一。在实战攻防演习中，白帽子最为经常利用的web漏洞形式包括：命令执行、sql注入、代码执行、逻辑漏洞、解析漏洞、信息泄露、xss、配置错误、弱口令、反序列化、文件上传、权限绕过等。命令执行命令执行漏洞，是指黑客可以直接在web应用中执行系统命令，从而获取敏感信息或者拿下shell权限的安全漏洞。造成命令执行漏洞最常见的原因是web服务器对用户输入命令的安全检测不足，导致恶意代码被执行。命令执行漏洞常常发生在各种web组件上，包括web容器、web框架、cms软件、安全组件等。sql注入sql，是structuredquerylanguage的缩写，意为结构化查询语言。sql注入漏洞，是最常见的安全漏洞形式之一，是指通过构造特定的sql语句，可以实现对数据库服务器的非授权查询，进而造成数据库数据泄露的安全漏洞。sql注入漏洞产生的主要原因是软件系统对输入数据的合法性缺少校验或过滤不严。代码执行代码执行漏洞，是指通过构造特殊的语句或数据，使软件可以在设计流程之外，执行特定函数或命令的安全漏洞。造成代码执行漏洞的主要原因是，开发人员在编写代码时，没有充分校验输入数据的合法性。逻辑漏洞逻辑漏洞，是指由于程序设计逻辑不够严谨，导致一些逻辑分支处理错误，或部分流程被绕过，进而引发安全风险的安全漏洞。解析漏洞解析漏洞，是指服务器应用程序在解析某些精心构造的后缀文件时，会将其解析成网页脚本，从而导致网站沦陷的漏洞。大部分解析漏洞的产生都是由应用程序本身的漏洞导致的。此类漏洞中具有代表性的便是iis6.0解析漏洞，此漏洞又有目录解析和文件解析两种利用方式，但也有少部分是由于配置的疏忽所产生的。信息泄露信息泄露漏洞，是指造成系统或服务器中，本应被保护或不可见的敏感信息被意外泄露的安全漏洞。这些信息包括账号密码、系统配置、运行状态、关键参数、敏感文件内容等。造成信息泄露漏洞的主要原因包括运维操作不当、系统代码不严谨等。xssxss，全称为crosssitescripting，意为跨站脚本攻击，为了和更加常用的css（cascadingstylesheets，层叠样式表）有所区分，特别简写为xss。xss攻击，通常是指通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是javascript，但实际上也可以包括java、vbscript、activex、flash或某些普通的html攻击成功后，攻击者可能得到更高的权限（如执行一些操作）、私密的网页内容、会话信息和cookie等各种用户敏感信息。最早期的xss攻击示例大多使用了跨站方法，即：用户在浏览a网站时，攻击者却可以通过页面上的恶意代码，访问用户浏览器中的b网站资源（如cookie等），从而达到攻击目的。但随着浏览器安全技术的进步，早期的跨站方法已经很难奏效，xss攻击也逐渐和“跨站”的概念没有了必然的联系。只不过由于历史习惯，xss这个名字一直被延用了下来，现如今用来泛指通过篡改页面，使浏览器加载恶意代码的一种攻击方法。在本文中，白帽子的xss能力，是指白帽子能够发现软件或系统的设计缺陷或安全漏洞，构造xss攻击代码，实现网络攻击的技术能力。配置错误配置错误，是指由软件或系统的配置不当导致安全风险的安全漏洞。例如，文件的或服务的访问权限、可见范围配置不当，网络安全规则的设置错误等，都有可能使系统处于暴露或风险之中。配置错误的本质是系统的使用或运维不当，而不是系统的设计或开发问题。造成配置错误的主要原因是运维人员的疏忽或专业技能不足。弱口令弱口令也是安全漏洞的一种，是指系统登录口令的设置强度不高，容易被攻击者猜到或破解。造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。常见的弱口令形式包括：系统出厂默认口令没有修改；密码设置过于简单，如口令长度不足，单一使用字母或数字；使用了生日、姓名**话号码、身份证号码等比较容易被攻击者猜到的信息设置口令；设置的口令属于流行口令库中的流行口令。10）反序列化反序列化漏洞，是指反序列化过程可以被操控或篡改，进而引发恶意代码执行风险的安