|
淺談我公司對安全應(yīng)急的響應(yīng)
0×00 黑客來了公司對黑客進(jìn)行的攻擊的應(yīng)急處理還是很欠缺的�����,發(fā)現(xiàn)有安全問題的,往往是客戶(也是受害者)因為客戶發(fā)現(xiàn)自己的數(shù)據(jù)被更改了�����,然后投訴到公司說數(shù)據(jù)什么被惡意更改的問題吧�。然后公司的運維人員就查下數(shù)據(jù)庫里面的信息,發(fā)現(xiàn)有JS代碼(經(jīng)過特殊處理的js代碼)插入到數(shù)據(jù)庫里���。(公司一般被XSS攻擊的太多了�����,感覺應(yīng)急處理太被動了�����,客戶要是第一次肯定覺得可以原諒下�����,但是要是下次�,多次被更改,我感覺客戶不會在愛了…由于我在該公司是做PHP開發(fā)�,所以沒能真正的應(yīng)急處理。我接下來做到事就是 找原因?qū)ΠY下藥治好它���,也就是我PHP開發(fā)人員該干的)
0×01 黑客的攻擊方法分析
黑客既然已經(jīng)來了���,我們就要分析那段js代碼是如何繞過我們公司的xss過濾的(以便做好相應(yīng)的修復(fù)方法),我如果不說那黑客是怎么繞過XSS過濾的�,你們肯定覺的我這文章寫的沒意思,扯淡的�����。我就大概說下那黑客是怎么繞過的�,html的img標(biāo)簽的屬性比如src屬性沒錯我想你應(yīng)該猜到了,那位黑客是繞過了這個屬性內(nèi)的雙引號控制�����,進(jìn)而增加個onerror屬性���,導(dǎo)致XSS�,其實公司這塊是有過濾的�,由于還有其他部分的過濾替換(關(guān)鍵就是這個替換太扯淡了�����,更扯淡的是過濾方法 都是寫在js端里- -(寫在服務(wù)端會死�。���,黑闊都可以看見我們的過濾方法,進(jìn)行白盒審計下就可以發(fā)現(xiàn)替換處有漏洞)�,原因找到了,那么我們就可以進(jìn)行修復(fù)了���。�����。���。
0×02 總結(jié)
1. 運維部門沒有良好的日志查看習(xí)慣,導(dǎo)致被黑客攻擊了暫時不知道���。
2. 惡意代碼過濾方法寫在服務(wù)端的話�����,黑客就不知道其過濾方法���,只能慢慢測試�,測試過程中會留有日志�����,這樣查看日志還是有效果的�。
3. 惡意代碼快速從數(shù)據(jù)庫里刪除
| 
加載中...
發(fā)表于 2013-8-31 12:51:12
QQ好友和群
收藏
發(fā)表于 2013-9-1 22:05:05
樓主