揭榜挑战“卡脖子”难题,武大学子胜出!
每一次登陆网站
如何保护账号?
行走于网络江湖
怎样清扫危险?
在珞珈山,有这样一支队伍
用二进制的繁复数据
织就了一张
保卫登录安全的防护网
珞珞珈珈为你揭秘
国家网络安全学院
“b1nsec”队
集结!以b1nsec之名
十月的傍晚,楼栋渐渐安静下来,走廊的灯早已熄灭,只余一间实验室仍被灯火照的亮堂。倘若走近些,你还会注意到实验室中传出激烈的讨论声。国家网络安全学院的4名研究生王俊琦、唐潇龙、朱与昕、白小凡正在为“华为杯”第一届中国研究生网络安全创新大赛的报名做着最后的准备。
这样的讨论对于团队来说,已是司空见惯。灵感碰撞出新的灵感,问题发散出新的思路。哪怕是在提交报名的当晚,4人依然沉浸在问题的讨论中,直至走廊灯灭,才猛然意识到报名照片还没有拍摄。
回想起那一晚,队长王俊琦记忆犹新:“我们在走廊应急灯的指引下无声搜寻,试图找到一位摄影师,结果失败而归,不得已回实验室来了张自拍。”
▲从左至右:唐潇龙 朱与昕 王俊琦 白小凡
谈到b1nsec这个别致的队名,队长王俊琦介绍道,它继承自课题组的名字,由指导老师赵磊教授提出。这是一个对binary security(二进制安全)的“极客式”缩写。
二进制安全,是一个主要用于字符串操作函数相关的计算机编程术语。在计算机中,无数个二进制0与1承载了整个网络空间的数据,它们的排列组合意味着创造与探索,也能成为保卫计算机安全的护盾,b1nsec也因之有了独特的意义。
与队名相呼应,在现实中应用广泛的软件安全、web安全、APT攻防等课题,也是b1nsec主要着力的方向。这次参赛,面对考察网页登录报文自动化构造的赛题,b1nsec设计了一种基于行为仿真的启发式登录报文自动构造工具,并斩获了揭榜挑战赛全国一等奖。该工具能通过行为仿真和启发式技术实现对登录功能http报文的自动化抓取,并用给定的密码本对用户的口令进行猜解,将其与漏洞扫描工具相结合后,可以对网站进行完整的漏洞检测,进一步提高漏洞探测的自动化程度。
难点!逐个击破
在目前的网络空间中,web网站是最为基础的组成部分,很多企业、组织都会对网站使用漏洞扫描工具定期扫描以保证安全。而实际上,大多数的敏感功能都需要在登录后才能被触发(比如网页银行的转账、学信网的学籍查验等),已有的漏洞扫描工具都不具备登录功能,无法扫描到登录“背后”的功能点。
▲登录功能测试流程仍需人工参与
如何解决现有漏洞扫描工具的局限性是团队首要面临的问题。在经过一系列对比和筛选后,b1nsec确定了“行为仿真”的思路。王俊琦介绍道,“我们在前期调研的时候发现,一个普通用户进行登录时,主要进行的操作是数次的输入(用户名、密码等)和一次对登录按钮的点击,通过行为仿真的方法,能够更为准确地定位和发现漏洞。”
▲登录的形式化定义
此外,对网站进行“启发式”处理,也成为攻克问题的又一利器。“在分析了大量的登录页面样本后,我们总结出了登录标签相关的特征,如关键字、特殊的属性和一些时序等,将这些规则加入到工具中,便可以用已有的样本与经验来启发式地处理未知网站。”
最终,这个工具将输出一组只与登录功能相关的HTTP报文集合,基于这些报文,可以进一步进行口令猜解、注入、登录验证失效等漏洞的检测。
一个项目从设想到落地,从灵感的火花到真正能够服务于人的工具,b1nsec向我们展示了何为团队的力量。“在设计过程中,我们的分工大致按模块来进行,遇到困难时再及时进行讨论沟通。这使得我们有了很高的效率。” 队长王俊琦扛起了主模块,唐潇龙承包登录模拟模块,白小凡揽下了流量筛选模块,朱与昕负责口令爆破模块。
▲工具的设计与实现
从选题到设计,每一次困难与挑战,赵磊教授都始终与b1nsec站在一起。“每当我们做出了一些阶段性的成果,都会将其反馈给导师,导师也总能在意见和技术上给予及时的指导。”
在选题阶段,团队搜集了大量的样本进行分析,对几个可能的思路进行快速开发、试错,比较方案之间的优劣,最后经过和导师的讨论选定了最终的基于行为仿真的方案。
在设计环节,b1nsec采用“小步快走”战略,每开发一个新功能就进行一轮测试,对于出现的问题和新的思路不断地修改、打磨……在一遍遍调试之后,终于交出了一个完整、合理的作品。
设计过程中的具体困难有许多,最为棘手的是大量web登录站点各不相同的程序设计对识别工作带来的挑战。直面困难,是解决困难的最好方法。赵磊教授建议,可以尝试采取最大限度扩大数据集,尽可能多地覆盖所有情况。
▲赵磊教授与b1nsec一同讨论
最终,数据集被扩大至2000个,使识别工作能够顺利推进。此外,赛题中的部分站点与b1nsec工具中使用的谷歌浏览器存在版本不兼容无法打开的情况,朱与昕提出进行浏览器版本回退。在对现有浏览器版不断尝试后,队伍果断采用了底层架构与谷歌浏览器相同的联想浏览器,使问题迎刃而解。
未来!期待更多惊喜
在本次“华为杯”中国研究生网络安全创新大赛中,b1nsec选择了“揭榜挑战赛”的赛道,这一赛道中的赛题更加侧重于网络空间安全领域中的“卡脖子”问题,这也与b1nsec一向注重现实导向的研究方向、研究理念相吻合。
启发式登录报文自动构造工具泛用性强,通过行为仿真技术实现,突破了对网页代码的传统分析方法,在用户界面进行报文抓取,简化了操作流程,在大容量样本的数据集上,准确率为91.2%,误报率为1.1%。同时也实现了修改报文和使用行为仿真两种不同的口令猜解方式,在数据集使口令猜解效率提高了37%。
该工具对当前安全生态建设的积极意义与实用价值,也得到了赛事评委的高度评价。在未来设想中,它主要有两个应用领域:第一,接入漏洞扫描工具,提高对网站功能点的测试覆盖率;第二,根据抓到的报文进行自动化漏洞探测。
热爱驱动、精益求精。这既是b1nsec在研究过程中最为重视的“八字真言”,更是他们想要传达给学弟学妹们的宝贵经验财富。
▲b1nsec队员生活照
保持热爱是前进的第一动力。这样才能一直保持对问题的敏感,从而多多关注行业动态,立足实际问题进行探索研究。
追求极致是成功的保障。对于每一个挑战而言,“完成”,是远远不够的。要“漂亮”地完成,做到能力范围内的最好。
多沟通、多碰撞很重要。小伙伴们不同的思路和视角可以带来更开阔的视野,既能高效解决问题,也能发现“盲点”,促进团队共同进步。
穿过数据的无限可能
b1nsec开辟着属于自己的路径
科研的道路上
鲜花与荆棘同在
愿揭榜挂帅的勇气
伴你们一路前行!
·推荐阅读·
明天起,倒计时最后一周!
@全体武大学生,准备返校!
武大代表队,向你发起挑战!
● 明天起,倒计时最后一周!
● @全体武大学生,准备返校!
● 武大代表队,向你发起挑战
● ོོ返场速领!武大喊你拆福袋啦
● 10点42分,正式开始!
● 人脸光影处理,4名武大学生帮你提高美颜度!
感谢武汉大学国家网络安全学院
图片来源于受访者
封面图:田春雨
采访:何睿
文案:何睿 张湘珞
编辑:张湘珞 何睿责编:何睿审核:邢知博
点个“赞”,再点个“在看”,一起攻坚克难