浅谈我公司对安全应急的响应

admin · 发表于 2013-8-31 12:51:12

浅谈我公司对安全应急的响应

0×00 黑客来了公司对黑客进行的攻击的应急处理还是很欠缺的，发现有安全问题的，往往是客户（也是受害者）因为客户发现自己的数据被更改了，然后投诉到公司说数据什么被恶意更改的问题吧。然后公司的运维人员就查下数据库里面的信息，发现有JS代码（经过特殊处理的js代码）插入到数据库里。（公司一般被XSS攻击的太多了，感觉应急处理太被动了，客户要是第一次肯定觉得可以原谅下，但是要是下次，多次被更改，我感觉客户不会在爱了…由于我在该公司是做PHP开发，所以没能真正的应急处理。我接下来做到事就是找原因对症下药治好它，也就是我PHP开发人员该干的）

0×01 黑客的攻击方法分析
黑客既然已经来了，我们就要分析那段js代码是如何绕过我们公司的xss过滤的（以便做好相应的修复方法），我如果不说那黑客是怎么绕过XSS过滤的，你们肯定觉的我这文章写的没意思，扯淡的。我就大概说下那黑客是怎么绕过的，html的img标签的属性比如src属性没错我想你应该猜到了，那位黑客是绕过了这个属性内的双引号控制，进而增加个onerror属性，导致XSS，其实公司这块是有过滤的，由于还有其他部分的过滤替换（关键就是这个替换太扯淡了，更扯淡的是过滤方法都是写在js端里- -（写在服务端会死啊），黑阔都可以看见我们的过滤方法，进行白盒审计下就可以发现替换处有漏洞），原因找到了，那么我们就可以进行修复了。。。

0×02 总结
1. 运维部门没有良好的日志查看习惯，导致被黑客攻击了暂时不知道。
2. 恶意代码过滤方法写在服务端的话，黑客就不知道其过滤方法，只能慢慢测试，测试过程中会留有日志，这样查看日志还是有效果的。
3. 恶意代码快速从数据库里删除

黑鹰007 · 发表于 2013-9-1 22:05:05

远控什么时候才能用啊？从去年年底等到现在了也没动静，

admin · 发表于 2013-9-3 12:51:50

2014一时半会真够呛了。。我目前都在上班兼职弄这个。。

双子座公主 · 发表于 2013-9-23 21:09:35

原来灰鸽子葛军的灰鸽子公司怎么不会被攻击！

为我 · 发表于 2014-7-11 16:05:18

完全没看懂啊。感觉自己真笨。

国产姑娘 · 发表于 2014-9-21 10:11:20

佩服，佩服！
西子之心 http://www.cqwpk.com
西子之心护肤品 http://user.qzone.qq.com/314338024
滨海论坛 http://www.365jxdt.com
滨海县驾校 http://www.shdgjw.com
苏州驾校 http://www.jsjp365.com
西子之心博客 http://szssfp.blog.163.com/

国产姑娘 · 发表于 2014-9-24 14:51:22

今天没事来逛逛
西子之心 http://www.cqwpk.com
西子之心护肤品 http://user.qzone.qq.com/314338024
滨海论坛 http://www.365jxdt.com
滨海县驾校 http://www.shdgjw.com
苏州驾校 http://www.jsjp365.com
西子之心博客 http://szssfp.blog.163.com/

静候缘来 · 发表于 2014-10-28 17:55:40

LZ辛苦了，支持一下！
爱美肌http://www.aimgam.com/

静候缘来 · 发表于 2014-10-29 14:27:06

辛苦辛苦，谢谢了~~
爱美肌http://www.aimgam.com/

		自动登录	找回密码
密码			立即注册