前言
IPS,一种防御网络攻击的设备,除了防御常见的web攻击、黑客工具攻击……更重要的是能够针对当下爆出的新漏洞进行防御。那么,当你面对一个日渐完善的规则库,如何继续开发新的规则呢?下面介绍一下我找漏洞的一些思路。
PeiQI WiKi文库⭐⭐⭐
我最喜欢的漏洞文库,简明扼要的记录的漏洞的利用方式,告诉你fofa要搜索的内容、漏洞点、POC,并且文库覆盖范围全面。经过我三遍的翻看,基本能写的规则全都写上去了。
文库分为4中访问方式:
- 博客地址:http://www.peiqi.tech/
- Gitbook地址【首推】:http://wiki.peiqi.tech
- Github地址:https://github.com/PeiQi0/PeiQi-WIKI-POC
- 码云地址:https://gitee.com/yelisenyu/wiki
这里首推 Gitbook,阅读很舒服,博客地址只简单的记录了几个漏洞,太少,Github和码云凑合着也能看吧。但是从9月1日《网络产品安全漏洞管理规则》发布之后,目前只有博客地址和码云地址可以访问,其他地址都已经凉凉。
透过互联网历史博物馆Internet Archive (Digital Library)可以看到曾经Gitbook的PeiQI WiKi
TALOS⭐⭐⭐⭐
TALOS最大的亮点在于漏洞库更新及时,覆盖面光,并且有较为详细的利用报告,并且不会被屏蔽,实属难得。而且,这个漏洞库还是国家信息安全漏洞库收集漏洞信息的参考平台之一。
https://talosintelligence.com/vulnerability_info
国家信息安全漏洞库⭐⭐⭐⭐⭐
http://www.cnnvd.org.cn/web/index.html
之前我对这个网站的误解太深了,以为它只有漏洞描述信息,现在才知道它才是最强漏洞库,它的强大不在于自身提供了多好的复现,而是它的参考链接!我可以通过它的参考链接去复现漏洞,这就意味着仅通过它,我将有写不完的规则。
需要特别注意的是,我推荐的是 国家信息安全漏洞库,下面模样。
别稀里糊涂的进了 国家信息安全漏洞共享平台
白阁文库
个人对白阁文库的感觉一般,里面的内容有不少引自先知社区,涉及较多的代码审计。在内容方面,没有PeiQI文库简单明朗,很多地方写的内容,还有待提升,其中1个很蛋疼的地方是,一旦点击了排名靠下的漏洞,页面会刷新,导致找不到你点击的那个漏洞名字了。好在漏洞库还很丰富,也能凑合着用。
访问地址:
官网地址【凉凉】:https://wiki.bylibrary.cn/
Github地址【可用】:https://baizesec.github.io/bylibrary/
seebug
追踪当下新爆出的漏洞,可以关注这个网站https://www.seebug.org/search/
CERT
与seebug类似的,还有安全厂商的CERT
诸如:
360cert:https://cert.360.cn/warning
阿里云漏洞库:https://avd.aliyun.com/
阿里云漏洞通告:https://help.aliyun.com/noticelist/9213612.html
exploit-db
一个知名的漏洞平台,找不到新漏洞的时候,可以来这里瞅两眼,https://www.exploit-db.com/
pwnwiki
一个有点类似exploit-db的网站,找不到漏洞的时候可以来这里瞅瞅
https://www.pwnwiki.org/index.php?title=Main_Page
目前站点也受到相关影响,不能直接访问了
漏洞复现博客
CSDN上有些作者有很多的漏洞复现,可以去检查自己公司的漏洞库有没有覆盖完全,如:
锋刃科技:https://blog.csdn.net/xuandao_ahfengren/category_10090915.html?spm=1001.2014.3001.5515
维梓梓:https://blog.csdn.net/zy15667076526/category_10534276_2.html
维梓梓:https://blog.csdn.net/zy15667076526/category_10361202.html
针对工具
可以针对黑客工具开发相关规则。
如webshell管理工具:https://xz.aliyun.com/t/9397#toc-12
如扫描工具:https://blog.csdn.net/weixin_44288604/category_10393890.html?spm=1001.2014.3001.5482
更多:https://github.com/hudunkey/Red-Team-links
其他
在上面的各种方法尝试完毕,还是没有规则写的时候,就好比现在。又找到了新的方向,规则转换。
- WAF规则转IPS
这种思路就是顾名思义了,看看WAF匹配的都是个啥,然后根据漏洞点转换为IPS - 找同事
这两天发现的一个思路,离职的同事有不少规则虽然添加到了平台,但是由于种种原因,不少规则没有加入到设备中,那么就可以把同事遗留下来的规则,从平台添加到设备中去😛
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134302.html