浅谈我公司对安全应急的响应
浅谈我公司对安全应急的响应0×00 黑客来了公司对黑客进行的攻击的应急处理还是很欠缺的,发现有安全问题的,往往是客户(也是受害者)因为客户发现自己的数据被更改了,然后投诉到公司说数据什么被恶意更改的问题吧。然后公司的运维人员就查下数据库里面的信息,发现有JS代码(经过特殊处理的js代码)插入到数据库里。(公司一般被XSS攻击的太多了,感觉应急处理太被动了,客户要是第一次肯定觉得可以原谅下,但是要是下次,多次被更改,我感觉客户不会在爱了…由于我在该公司是做PHP开发,所以没能真正的应急处理。我接下来做到事就是 找原因对症下药治好它,也就是我PHP开发人员该干的)
0×01 黑客的攻击方法分析
黑客既然已经来了,我们就要分析那段js代码是如何绕过我们公司的xss过滤的(以便做好相应的修复方法),我如果不说那黑客是怎么绕过XSS过滤的,你们肯定觉的我这文章写的没意思,扯淡的。我就大概说下那黑客是怎么绕过的,html的img标签的属性比如src属性没错我想你应该猜到了,那位黑客是绕过了这个属性内的双引号控制,进而增加个onerror属性,导致XSS,其实公司这块是有过滤的,由于还有其他部分的过滤替换(关键就是这个替换太扯淡了,更扯淡的是过滤方法 都是写在js端里- -(写在服务端会死啊),黑阔都可以看见我们的过滤方法,进行白盒审计下就可以发现替换处有漏洞),原因找到了,那么我们就可以进行修复了。。。
0×02 总结
1. 运维部门没有良好的日志查看习惯,导致被黑客攻击了暂时不知道。
2. 恶意代码过滤方法写在服务端的话,黑客就不知道其过滤方法,只能慢慢测试,测试过程中会留有日志,这样查看日志还是有效果的。
3. 恶意代码快速从数据库里删除
远控什么时候才能用啊?从去年年底等到现在了也没动静,:'( 2014一时半会真够呛了。。我目前都在上班 兼职弄这个。。 原来灰鸽子葛军的灰鸽子公司怎么不会被攻击! 完全没看懂啊。感觉自己真笨。 佩服,佩服!
西子之心http://www.cqwpk.com
西子之心护肤品http://user.qzone.qq.com/314338024
滨海论坛http://www.365jxdt.com
滨海县驾校http://www.shdgjw.com
苏州驾校http://www.jsjp365.com
西子之心博客http://szssfp.blog.163.com/ 今天没事来逛逛
西子之心http://www.cqwpk.com
西子之心护肤品http://user.qzone.qq.com/314338024
滨海论坛http://www.365jxdt.com
滨海县驾校http://www.shdgjw.com
苏州驾校http://www.jsjp365.com
西子之心博客http://szssfp.blog.163.com/ LZ辛苦了,支持一下!
爱美肌http://www.aimgam.com/ 辛苦辛苦,谢谢了~~
爱美肌http://www.aimgam.com/
页:
[1]