引言:在漫长的互联网安全发展史上,极客工具的进化像是一道道闪亮的路标,将一代代人对互联网技术的探索欲望照进现实。
正文:
上世纪80年代网络安全以被动防御姿态登上了中国互联网的历史舞台,半个世纪以来,赛博世界日新月异、大浪淘沙,技术理念上的更迭无外乎开辟出越来越多的攻防战场,而攻防双方的角色转换则构成了一副网络安全攻防的巨幅史诗。
在这幅长达半个世纪的巨幅画卷中,“黑客、红客、极客、白帽子、灰帽子、黑帽子……”,这些不同的称谓代表了不同的角色、阵营甚至是历史时期,而“冰河”、“流光”、“灰鸽子”等当年炙手可热的黑客工具则不断穿透历史长河照进现实,并且最终以代码的形式留存在技术进步的里程碑上。
从某种意义上说,这些工具的存在为每一个技术时期与所处这一时期的技术人都留下了最为鲜明的注解。
漏洞扫描器的前世今生
网络安全的本质在于攻防对抗,以早期黑客工具为例,“冰河”、“灰鸽子”为代表的远程控制木马基本以系统漏洞作为通道以获取目标权限为主要目的,而“御剑”、“流光”等扫描工具则通过扫描、分析等能力以发现系统漏洞为主要目的。
伴随着互联网技术的进步发展,互联网安全防护的整体能力与当年不可同日而语,再加上移动互联网、web2.0等新技术、新理念的更迭,曾经风靡一时的黑客工具逐渐失去了赖以生存的技术土壤。然而,尽管安全技术不断更迭,“未知攻,焉知防”的安全理念一直沉淀下来,成为了整个网络安全行业的技术底色,而类似漏洞扫描工具这样的传统黑客工具也成为安全防护必不可少的的工具之一。
几十年来,攻防工具的交替演进成为网络安全进化历史中最富有时间特色的一道剪影,而漏洞扫描工具几乎贯穿始终,同时,漏扫工具的进化也是攻防关系交替演进的一个集中体现。
这里简单总结一段漏洞扫描工具大致的进化历史,大概可以帮助大家见微知著。
大概在20世纪初,自从数据系统的商业价值逐渐显现以后,漏洞扫描成为互联网行业安全防护必不可少的一个重要环节。
早期,在网站、数据系统体量较小的情况下,互联网公司一般通过例如“Nessus”这类开源工具完成漏洞扫描工作,而市面上普遍流行的漏洞扫描工具大概有以APPScan、WVS、WebInspect等为代表的客户端软件以及“极光”、“天镜”等硬件漏扫设备;
web2.0时代的到来加速了web业务的急速膨胀,业务模块更新速率明显增快,传统扫描方案执行速度慢、整体效率低下的问题迅速显现,在这一时期,分布式漏洞扫描以及基于爬虫的漏洞扫描器开始广泛应用,这也是漏洞扫描与渗透测试工作步入自动化的一个重要开端;
与此同时,大约在2013年左右各大互联网公司SRC(网络安全应急响应中心)开始逐步设立,这一机构的产生以及2016年“WooYun”的退场间接将民间白帽力量正式的合法的推上了漏洞挖掘的历史舞台,大量民间白帽黑客以及爱好者的涌入使得漏洞扫描技术完成了从地下到商业化再到遍地开花的历史性转折。也是由于SRC以及一系列的漏洞奖励机制的建立,为大量的网络安全爱好者打开了技术变现的渠道,与此同时,民间对于漏洞扫描工具的需求也达到了空前的高潮;
回到漏扫工具的发展历史上来,随着Web2.0的技术应用越发广泛,互联网公司的业务增长迎来高潮,大量服务器和Web站点的增加带来的是传统爬虫的不堪重负以及大量业务逻辑漏洞的产生,类似动态爬虫以及基于业务逻辑的漏洞扫描工具应运而生,市场上基于云的远程漏洞扫描服务也开始崭露头角。
迄今为止,赛博空间日新月异,层出不穷的技术架构与技术理念给安全工作带来了更多的挑战,尤其是在5G与物联网技术广泛应用后,系统漏洞的问题也势必再次被推上风口浪尖。
从“洞鉴”产品到“xray”工具
假如说早期攻防对抗的形式是刀枪剑戟、拳拳到肉,那么如今的攻防对抗已经从石器时代进化到了自动化的机器对抗时代,而在这场漫长的进化过程中,涌现了一批又一批挥斥方遒的技术人与技术力量。
脱胎于蓝莲花战队的长亭科技在近年来来一直以“技惊四座” 与“朝气蓬勃”的形象出现在公众视野中。
从2016年发布 Web 应用防火墙“雷池”与内网威胁感知系统“谛听”,到2018年发布“洞鉴”安全服务系统和“牧云”服务器安全平台,几年来,以一个相当低频而又稳定的发布速率,长亭包揽了行业中大大小小几十个奖项。
假如你留意长亭的官网会发现,在清晰明了的公司介绍页面下,你甚至找不到这家公司成立于何时何地,但是,在各大比赛中获得名次与这些年来获得的奖项被他们自豪的铺满了整个页面。
不可否认的是,短短几年内,长亭的确取得了商业上的成功,正如CEO陈宇森所期望的那样,凭借四个产品的接连问世,长亭科技取得了商业上的认可,但也正是在这些技术人的坚持下,一些改变悄然发生。
2019年6月,脱胎于长亭洞鉴扫描评估产品的免费扫描工具xray0.1.0正式发布,这也是国内首个由原班人马从商业产品中脱胎出来的免费漏洞扫描工具,当然xray的推出不乏商业上的考量,比如技术输出、增加知名度,诸如此类。
但也正是这些商业考量直接推动了xray的诞生,事实上,商业化的考量并不影响xray工具研发的初衷——“做一个好用的、免费的、伟大的扫描工具”。
迄今为止的2年时间内,长亭内部原本负责洞鉴产品研发的技术人员逐渐组成一个小组,投入到了这个免费工具的建设中来。xray工具社区也从最初的单个扫描工具发展成为容纳xray漏洞扫描器、Radium爬虫工具以及数万名工具爱好者与社区贡献者的安全社区工具平台。
恰逢国内白帽黑客力量的崛起,xray漏洞扫描器成为了各路白帽子挖掘漏洞的一大助力。
迈向伟大
“长久以来,国内都缺乏好用的安全工具,安全行业需要发展,xray的诞生是偶然,也是必然。”——资深安全专家猪猪侠
某种意义上说,xray的出现填补的是国内漏洞扫描工具的一项空白,适用于当前网络安全环境的白帽漏扫工具的空白。
从技术角度来看,xray漏洞扫描器主要解决的痛点有如下几个:
1、解决传统扫描工具的cpu占用问题,在现有资源条件下最大程度利用并发处理能力,简单来说,降级扫描程序对cpu的依赖,降低漏洞扫描工作的硬件门槛。
2、降低安全测试对生产环境带来的风险,针对扫描场景进行最优检测,首创基于语义分析的漏洞检测算法,最到最大限度的减少冗余请求,从而减少占用带宽,降低IP封禁的风险。
3、降低组件类漏洞误报率,给白帽子漏洞检测验证工作减负。
4、构建基于yaml的POC框架,维护高质量POC库,简单来说,一方面,保证代码零基础也能编写POC,另一方面提供了高质量解决方案以供学习。
5、扩展信息收集的渠道来源,通过子域名探测功能为白帽子提供更多的可以目标作为检测对象。
这段功能介绍听起来更像是一篇广告文,这里提供一个介绍资料,结合行业案例观看会更有说服力。
简单枚举一个
当然,假如你看不懂也没有关系,总结来说,这些特性印证了一个观点:“xray可能不是功能最强悍的漏洞扫描器,但是它应该是目前市面上最了解白帽黑客需求的免费扫描工具。”
对于xray的开发团队而言,这也是近两年来他们所追求的工作目标。
xray社区作者“K4ic”总结说:
“我们拒绝粗制滥造的大而全,也不愿止步小而美;我们研究最新的漏洞,探索最前沿的最高效的检测方法;我们一道披荆斩棘,点亮夜空,只为追赶瞬息万变的攻防节奏。而这一切,皆凝结于xray之中。”
采访刚刚开始时,我问到xray的开发人员,
“创作一款这样的免费工具,目的是什么?”,
他们回答我,“我们从心底里希望能够做成一款伟大的工具。”
我最初选择排斥这种“夸大其词”,但是从这些社区创作者的留言中,我又看到了一种除此以外无从解释的创作热情。
前路荆棘
事情从来不是一帆风顺的,2020年初,xray社区上线高级版,高级版证书对xray扫描器的部分功能进行了升级,本意是对提交高质量POC的社区用户进行奖励,也方便培养社区创作者的创作热情。
但是,俗话说“没有人破解的工具不是好工具”。
假如从这个角度来理解,“破解”与“加固”可以被看作一场开发者与使用者之间心照不宣的技术游戏,但是网络上开始出现公开售卖xray破解版的信息,从此便开始了一场开发人员与黑产之间的恶性拉锯战。
尽管如此,有一个悲观的现实是“开发者每次的修改只能使破解难度加大一些”,坦白说,这也是安全从业者的宿命。
问题的关键在于,所谓网络安全从业者的工作,就是在所有怀揣探索欲望的人用手中键盘叩响赛博空间大门的时候,他们选择与隐秘的深渊站到了对立面上。
许知远曾在一篇访谈中提到,
“在人类过去的历史中,人文主义从来都没有发挥过特别主导性的作用,它一直不是一个支配性的力量,但却是一个非常有生命力的力量。它是一种防守型力量,防止社会过分堕落到物质化、机械化的引诱之中,它是对人本身的脆弱性和丰富性的一种捍卫。它不是一个进攻型的力量,而技术是进攻型的。”
正如我所看到的安全从业者一样,这个行业真正的魅力就在于,
在某种深刻且悲观的基础上,一批又一批安全从业者以近乎卫道士的角色站了起来,他们手持一种进攻型的力量,又毅然站到了防守方的阵营中去。