|
淺談我公司對安全應(yīng)急的響應(yīng)
0×00 黑客來了公司對黑客進行的攻擊的應(yīng)急處理還是很欠缺的���,發(fā)現(xiàn)有安全問題的�����,往往是客戶(也是受害者)因為客戶發(fā)現(xiàn)自己的數(shù)據(jù)被更改了���,然后投訴到公司說數(shù)據(jù)什么被惡意更改的問題吧�����。然后公司的運維人員就查下數(shù)據(jù)庫里面的信息��,發(fā)現(xiàn)有JS代碼(經(jīng)過特殊處理的js代碼)插入到數(shù)據(jù)庫里���。(公司一般被XSS攻擊的太多了,感覺應(yīng)急處理太被動了��,客戶要是第一次肯定覺得可以原諒下���,但是要是下次���,多次被更改,我感覺客戶不會在愛了…由于我在該公司是做PHP開發(fā)�����,所以沒能真正的應(yīng)急處理。我接下來做到事就是 找原因?qū)ΠY下藥治好它�����,也就是我PHP開發(fā)人員該干的)
0×01 黑客的攻擊方法分析
黑客既然已經(jīng)來了��,我們就要分析那段js代碼是如何繞過我們公司的xss過濾的(以便做好相應(yīng)的修復(fù)方法)�����,我如果不說那黑客是怎么繞過XSS過濾的���,你們肯定覺的我這文章寫的沒意思��,扯淡的��。我就大概說下那黑客是怎么繞過的�����,html的img標(biāo)簽的屬性比如src屬性沒錯我想你應(yīng)該猜到了��,那位黑客是繞過了這個屬性內(nèi)的雙引號控制�����,進而增加個onerror屬性�����,導(dǎo)致XSS���,其實公司這塊是有過濾的,由于還有其他部分的過濾替換(關(guān)鍵就是這個替換太扯淡了��,更扯淡的是過濾方法 都是寫在js端里- -(寫在服務(wù)端會死��。�����,黑闊都可以看見我們的過濾方法��,進行白盒審計下就可以發(fā)現(xiàn)替換處有漏洞)��,原因找到了��,那么我們就可以進行修復(fù)了���。��。��。
0×02 總結(jié)
1. 運維部門沒有良好的日志查看習(xí)慣�����,導(dǎo)致被黑客攻擊了暫時不知道�����。
2. 惡意代碼過濾方法寫在服務(wù)端的話�����,黑客就不知道其過濾方法���,只能慢慢測試���,測試過程中會留有日志,這樣查看日志還是有效果的���。
3. 惡意代碼快速從數(shù)據(jù)庫里刪除
| 
加載中...
發(fā)表于 2013-8-31 12:51:12
QQ好友和群
收藏
發(fā)表于 2014-10-29 14:27:06
樓主