如何在代碼中查找漏洞是一個非常復雜的問題，如果高屋建瓴地看，這個查找漏洞的過程應該是以下這樣的：

• 找到危險的功能;
• 找到從你控制的輸入到危險功能的路徑;
• 向程序輸入錯誤的行為;

先讓我們看看如何找到危險的功能，根據經驗，80%的錯誤都在大約20%的代碼中。由于通常需要徹底理解代碼才能發現新的漏洞，因此決定重點關注哪20%至關重要。根據我的經驗，哪里的“異常詞匯(Bad Word)”頻率最多，哪里能找出的漏洞機會就越大。

本文我將通過一個簡短的故事向你展示尋找漏洞的思路。Terraform 是一個安全和高效的用來構建、更改和合并基礎架構的工具。采用 Go 語言開發。Terraform 可管理已有的流行的服務，并提供自定義解決方案。最近在一次滲透測試工作中，當我在查看一份大段的Terraform 材料時，無意中看到了這行代碼：

driver.raw_exec.enable = 1 

原本我認為在這段代碼中是沒有找到漏洞的可能，但當以上那行奇怪的代碼出現時。我不得不停下來弄清楚它們是什么意思負責什么操作。原來，它正在配置Hashicorp的一個名為Nomad的操作調度程序。HashiCorp是由Mitchell Hashimoto和Armon Dadgar聯合創辦，總部位于美國舊金山，致力于為企業提供服務，通過數據中心管理技術研發，讓開發者通過工具構建完整的開發環境，提高開發效率。Nomad 是一個集群管理器和調度器，專為微服務和批量處理工作流設計。

Nomad 是分布式，高可用，可擴展到跨數據中心和區域的數千個節點。Nomad 提供一個常規工作流跨基礎設施部署應用。開發者使用一個聲明式操作規范來定義應用該如何部署，資源有什么要求(CPU，內存，硬盤)。Nomad 接收這些操作，查找可用的資源來運行應用。調度算法確保所有的約束都滿足，盡量在一個主機部署盡可能多的應用，優化資源利用。

和其他滲透測試人員一樣，我立即對Nomad進行了了解。果然，我查出了這行代碼的蹊蹺之處，官方文檔是這樣解釋其作用的：“這使你可以無隔離地運行操作，出于安全原因，默認情況下將其禁用。”

當我迅速完成我可以構建的最簡單的Nomad模塊時，我高興壞了，幾分鐘后，我就可以以root身份訪問該模塊，并且獲取大量憑證。在此之前，我從來沒有聽說過Nomad，更不用說這個配置選項了，那么是什么讓我想要深入挖掘呢?它是徘徊在同一段代碼上的兩個安全異常詞匯的組合，即“raw”和“exec”。這些異常詞匯可以幫助你找到代碼中最關鍵的安全部分，這樣你就可以將你的注意力放在最重要的地方了。

常見的異常詞匯

1. raw

Raw意味著你正在訪問較低級別的抽象，當你的安全控制在更高的級別執行時，允許此“raw”界面的用戶繞過它們，這就會成為一個漏洞。

示例：

• CAP_NET_RAW是一種Linux功能，允許你創建原始套接字，并使用它們來繞過典型的進程隔離限制。
• Nomad中的raw_exec驅動程序使你可以創建具有Nomad代理權限的，在容器外部運行的操作。
• 許多ORM都具備rawQuery或rawSQL方法，可讓你直接執行查詢。 ORM生成的查詢通常是不可注入的，但是在使用“raw” 界面時，如何組織SQLi由用戶決定。

2. eval | exec | run

將用戶輸入與用動態語言(Javascript、SQL、bash等)編寫的代碼相結合通常會導致注入攻擊，攻擊者可以提交代碼作為輸入內容，從而導致解釋器的行為異常。運行此代碼通常被稱為“執行”，“評估”或“運行”。

示例：

• 無隔離狀態下，raw_exec運行一個Nomad操作;
• execute(sql)在許多python數據庫驅動程序中運行sql查詢;
• exec(code)是一個python方法，它運行傳遞給它的代碼;
• eval(code)是許多動態語言提供的函數，比如運行傳遞給它的代碼的Javascript，Python也有一個eval函數，但它只用于表達式;

這個函數將返回大量的假陽性結果，因為正如Steve Yegge預測的那樣，似乎每個動詞都通過run()、execute()或justDoIt()方法變成了名詞。

3. process | system | popen | exec | spawn

這些詞可以指示子進程的創建，如果子進程生成了shell，則可以注入shell命令。即使它直接調用execve系統調用，你仍然可以向程序添加或修改參數。

示例：

• python中的子進程模塊;
• 節點中的child_process模塊;
• golang中的os / exec程序包;
• python中的os.system方法;
• ruby中的popen模塊;

4. privilege | permission | capability | role | rbac | policy | authorization | claims

這些詞將幫助你找到負責向用戶、容器、進程、文件、EC2實例等授予特權的代碼，使用任何高度特權的對象來操作你的命令，甚至完全繞過authz。

示例：

• docker --privileged標志為主機提供了容器功能的root特權;
• linux內核將root用戶權限劃分為“功能”，你可以將其分配給程序，從而允許它執行創建原始套接字，調試你不擁有的進程或繞過文件ACL之類的操作。
• Kubernetes使用一個稱為RBAC(基于角色的訪問控制)的api擴展來授權對k8s資源的訪問，k8s全稱kubernetes，這個名字大家應該都不陌生，k8s是為容器服務而生的一個可移植容器的編排管理工具，越來越多的公司正在擁抱k8s，并且當前k8s已經主導了云業務流程，推動了微服務架構等熱門技術的普及和落地，正在如火如荼的發展。
• 許多云提供商使用術語“role binding”向主體授予一組權限;
• JWT具有向用戶告知用戶特權的“claims”，并且用戶使用jwt.ParseWithClaims之類的功能對其進行驗證。

5. reflect | klass | constantize | forName

許多編程語言都允許你通過函數名稱，類，方法，變量等來查找它們(甚至實例化/調用它們)，這通常稱為“反射”。如果用戶可以控制要調用的方法的名稱或要返回的變量的名稱，則可能會導致程序行為異常。

示例：

• Javascript中的Reflect對象;
• ruby String#constantize方法;
• java Class.forName方法;
• klass是通過反射查找的類的常見變量名(因為“class”往往是一個保留詞匯);

6. pickle | yaml | serialize | marshal | objectinput

這些詞表示程序可能正在使用支持復雜對象的格式對數據進行反序列化，這可能使攻擊者可以讀取文件、發送HTTP請求甚至執行任意代碼，具體取決于序列化格式以及運行時可用的對象(JVM類路徑上的類，python中sys.path上的包等)。

示例：

• python的pickle格式;
• node-serialize包;
• 大多數YAML解析器;
• Java的ObjectInputStream ;
• php的反序列化功能;

7. parse | open | request

這些詞匯之所以有趣，原因與eval()及其類似的函數一樣，攻擊者可以輸入解析器所識別的元字符，以改變解析器的行為。主要區別在于，你不是用動態語言運行代碼，而是利用解析器訪問文件或URL等資源。

示例：

• 控制URL解析器的輸入可能會導致SSRF、繞過代理限制、非斜杠格式等等;
• 控制文件路徑解析器的輸入可能導致LFI，RFI和本地文件讀/寫;

8. unsafe | insecure | dangerous

有時候，API開發人員喜歡通過在名稱中包含“insecure” 或“unsafe”來提醒人們注意危險的API。

示例：

• Rust中unsafe {};
• Go語言編寫的TLS套件中的InsecureSkipVerify;
• React中dangerouslySetInnerHtml()，React主要用于構建UI。你可以在React里傳遞多種類型的參數，如聲明代碼，幫助你渲染出UI、也可以是靜態的HTML DOM元素、也可以傳遞動態變量、甚至是可交互的應用組件;
• Go中不安全的程序包;

9. todo | fixme | xxx

隨著代碼的發展，開發人員會添加注釋，以提醒自己實現功能、修復漏洞或清理一些自己不喜歡的代碼。有時，這些注釋可能會導致你發現重要的漏洞、丟失的功能等，你可以利用它們。

示例：

• 有一次，我在Apache服務器的Web根目錄中找到一個todos.txt文件，它包含了一長串未修補的安全漏洞。
• 還有一次，我發現一個FIXME注釋提到了一個功能問題。事實證明，這是一個非常難以發現的漏洞，但利用ReDoS漏洞卻是微不足道的。

10. merge | clone

這些詞通常表示一個object, dict, map等正在與另一個對象合并或克隆到新對象中，這可能會導致一些有趣的安全問題，例如Javascript原型污染漏洞、大規模分配漏洞等。

示例：

• LoDash中的_.merge;
• LoDash中的_.clone;

11. alloc | free

這是一個很好的線索，說明正在進行手動內存管理。眾所周知，這很難解決，并且可能導致諸如緩沖區溢出、釋放后使用、雙重釋放等漏洞。

示例：

• malloc ();
• free ();
• Objective C中的[object alloc] 消息;

12. AES | RSA | DSA | DES | CBC | ECB | HMAC | GCM

這些是加密原語，可以表明作者在使用他們自己的加密系統，而不是使用更高級別的抽象。有許多微妙的方法可以不安全地使用它們，所以請仔細閱讀并咨詢密碼學家。

示例：

• aes.NewCipher(密鑰);
• 新的RSAPrivateKey(keyBytes);
• HMAC.new(secret，digestmod = SHA256);

13. JWT | JKS | JWK | JKU …

JSON Web令牌是安全傳輸數據的標準，在現代應用程序堆棧中非常常用，有很多不安全地使用它們的方法，因此值得關注處理JWT的代碼。

常見的JWT問題：

• 無算法;
• 操縱alg標頭;
• 不驗證aud或 iss claims;
• 未驗證有效期(exp和nbf claims)
• 簽名但不加密敏感數據;

示例：

• JWTVerifier;
• jwt.ParseWithClaims;
• jwt.verify;

14. password | private | token | secret | key | Authorization

這些詞匯很好地說明了你可能有一些硬編碼到存儲庫中的密鑰，如API密鑰、數據庫密碼、加密密鑰等。

示例：

• BEGIN RSA PRIVATE KEY;
• AWS’s “secret access key”;
• Django的SECRET_KEY設置;

15. validate | verify

這些詞匯通常表示正在執行業務/安全規則，不過請仔細檢查這些內容，以獲取通過驗證的輸入內容，因為這也可能導致漏洞。他們試圖禁止的輸入類型也可以為你提供有關潛在漏洞的線索。

示例：

16. XML | xerces | SAX | etree | xpath | DocumentBuilder

解析攻擊者控制的XML可能會導致諸如本地文件讀取以及拒絕服務攻擊等一系列安全問題。

示例：

• DocumentBuilderFactory.newInstance();
• SAXParserFactory.newInstance();
• xml.etree.elementtree;