迎合扫描器的探测，让攻击者头疼脑热

互联网上有大量自动化漏洞扫描器在运行，不断探测互联网空间的安全漏洞，其中不乏黑灰产等违法犯罪活动，当然也有大量白帽子探测漏洞，获得赏金，然而，常规的安全防御系统，比如 waf 之类的系统，针对漏洞探测，采取拒绝访问的策略，只要匹配到恶意攻击的请求，通过拦截请求或者封禁 IP 的方式进，对于攻击者而言，漏洞是否存在，通过结果就能判断，漏洞扫描器的准确率是比较高的。

当防御者使用迎合扫描器的模式，对于扫描器的请求，通过分析后，返回让扫描器认为漏洞存在的内容时，扫描器会产出大量的漏洞报告，这个时候，攻击者就开始头疼了，哪个漏洞是真实存在的？还需要进一步进行漏洞复现和确认，大大的增加攻击者的时间成本，这种方式也相当于增加扫描器的误报率，从而提升防御效果。

近日，小白帽在挖洞的时候，正好遇到了这样的防御措施，所以就马不停蹄的为大家做做分享，采用的扫描器是 xray，长亭科技出品的漏洞扫描工具，针对 SQL 注入的漏洞探测准确率是比较高的，误报也比较少，在看漏洞报告的时候，发现某个接口存在漏洞，如图：

这个时候，小白帽兴高采烈的掏出 burp 进行漏洞复现，发现请求结果与漏洞扫描的结果并不相同，结果如图：

这是真么回事？小白帽愣住了，明明漏洞存在，怎么就无法复现，思考一会后，想着看看目标是否有啥防御措施，先去看了下域名的解析记录，如图：

发现域名的 CNAME 解析到了阿里巴巴的域名，该域名访问后会跳转到淘宝的页面，猜测该服务的防御是阿里的防御策略了。

目前这种防御手段，用到的企业还不多，如果有一天普及后，自动化漏洞扫描的效果就要大打折扣了，一百个 POC 打出来一百个漏洞，这不就跟没扫的效果一样吗？你认为呢？

文库目录：

https://wiki.xazlsec.com/static/forder.html