0x01 从Goby说起
Goby 是一款很好的半开源安全工具,之前也关注过,但没太多使用,也就感觉是一个比 Nmap 扫描更准指纹更多界面好看些也能够扫扫漏洞的小工具,并且也有自己一套poc管理框架,插件golang也不是自己熟悉的脚本,所以也就没太多使用。但最近 GoExp 活动触动了我些,一方面是一个非 0day 的小插件提交了竟然给到了1k,大厂都没做到这样对于一个创业型公司来说这么有魄力的嘛,更何况短期来看 Goby 也只是个免费工具一个创业公司花人力财力来维护这个工具它的价值在哪。另外一方面很赞同zwell所说的标杆漏洞理念,想想自己在维护漏洞POC时候也的确花费了很多精力在一些很无用的漏洞上,想面面俱到不想丢,量是出来了但后期却是不断徘徊在误报和优化的旋涡中,对提升漏扫发现能力来说事倍功半,纵使这些都发现了也没误报又如何,混混报告可以但给用户实质解决问题其实没有多少帮助,护网一轮一轮的下去,甲方也会越来越专业越来越期待能解决问题的产品,一些历史老漏洞无实质也会慢慢的被磨平,与其耗费精力在量上不如聚焦在近五年左右真正有利用价值的漏洞上,护网一次出来的0day大概也就几十个左右,排除弱口令之类大多Nday红队关注的点大多也都集中在这些有利用价值的漏洞上,专注在这些标杆漏洞上 + 思考标杆漏洞是否存在绕过姿势 + 模糊识别可疑的0day行为上,至少从外部远程利用来看无论攻防哪个角度都是比较实在的高效的。
从工具联想到产品也一样,没必要被甲方因为漏洞库牵着走,空徒有一堆无用的漏洞,记得云舒有次在微博写到他们公司小伙去现场和别的产品测试,结果被对方不懂的甲方喷了一顿说扫出来的漏洞没有其他产品多不好,其实呢对方扫出来的都是一些无用的漏洞。这事技术、用户来看其实都没问题,技术来看我秉承做好产品的态度把无用的插件都帮你去掉了你还怪我,用户来看这些专业东西不懂凭通用判断东西好不好的常识来看感觉扫出来多的产品好,就这样慢慢的形成了现在流行的一个词内卷,大家都这样把无用的插件加上你不加你就吃亏甚至还直接在标书上写着,如果不考虑这些又有些过于乌托邦,并且这些无用漏洞对做技术来说也有一定量变到质变的帮助,引用TK教主的一段话
我刚参加工作的时候,做了很长一段时间“低级” “无 意义”的工作。就是给IDS加一些针对古老攻击工具的规则。 那些木马和漏洞有些甚至古老到连运行环境都不好找了。所以加那些规则对检测能力来说确实没有意 义,永远都不会发挥作用。但竞争对手有这个规则 你就也得有。你看,其实连网络安全产品也是“内 卷”的。 工作的步骤就是搜索、下载、运行、抓包、看特征、写规则。然后再重复,再重复,重复很多遍。 有时候为了应付一个投标前的测评,每天要加接近一百条规则。就这么重复,干到十一二点。 但通过做这些重复的、“低级” 的、“无意义”的工 作,我熟悉了各类漏洞的原理,学会了很多分析工具的使用,熟悉了大量通用的和私有的网络协议, 看到了各种系统可能出问题的地方。如果2002年 没有做过这些“低级”“无意义”的工作,我大概也不会在2016年发现BadTunnel漏洞。
考虑的同时也并不影响把更多的精力放在标杆漏洞上,可以为不专业的人增进使用产品的感受,但不能被不专业的人影响到产品的核心走向!
0x02 当Goby遇到强迫症选手
虽然Goby已经做的很好了,但碰到我这枚有些强迫症的选手还是逃不过被挑刺。在决定好好用用这款工具,就得先去了解下这款工具,从界面使用、群聊公共号信息到Github文档、Issues、谷歌前几页资料大致过了一下,一周左右零零散散想到哪记到哪一些小Q点,趁周末有时间,估摸着Goby开发也休息"时机"也成熟了,一口气从界面、功能、运营几块提了近3k+的想法建议和解决方案,等写完看到字数的时候一惊,有强迫症的男人也太可怕了... (不是
挑刺归挑刺,还是很看好Goby未来的,一款工具能够把大家汇聚在一起打造一个近五年有实战、有影响、有靶机、数据充实格式统一的漏洞库,虽然Goby只是个桌面程序受到业务性能调度之类限制,但核心的弹药库有了横向扩展再做一些其他产品都能够水到渠成,把精力聚焦在标杆漏洞上也更能快速的发现实实在在问题。(20:00点发,记得删括号里内容:(
Goby越做越好