标签归档:安全应急响应

浅谈我公司对安全应急的响应

0x00 黑客来了

公司对黑客进行的攻击的应急处理还是很欠缺的,发现有安全问题的,往往是客户(也是受害者)因为客户发现自己的数据被更改了,然后投诉到公司说数据什么被恶意更改的问题吧。然后公司的运维人员就查下数据库里面的信息,发现有JS代码(经过特殊处理的js代码)插入到数据库里。(公司一般被XSS攻击的太多了,感觉应急处理太被动了,客户要是第一次肯定觉得可以原谅下,但是要是下次,多次被更改,我感觉客户不会在爱了…由于我在该公司是做PHP开发,所以没能真正的应急处理。我接下来做到事就是 找原因对症下药治好它,也就是我PHP开发人员该干的)

0x01 黑客的攻击方法分析

黑客既然已经来了,我们就要分析那段js代码是如何绕过我们公司的xss过滤的(以便做好相应的修复方法),我如果不说那黑客是怎么绕过XSS过滤的,你们肯定觉的我这文章写的没意思,扯淡的。我就大概说下那黑客是怎么绕过的,html的img标签的属性比如src属性没错我想你应该猜到了,那位黑客是绕过了这个属性内的双引号控制,进而增加个onerror属性,导致XSS,其实公司这块是有过滤的,由于还有其他部分的过滤替换(关键就是这个替换太扯淡了,更扯淡的是过滤方法 都是写在js端里- -(写在服务端会死啊),黑阔都可以看见我们的过滤方法,进行白盒审计下就可以发现替换处有漏洞),原因找到了,那么我们就可以进行修复了。。。

0x02 总结

1. 运维部门没有良好的日志查看习惯,导致被黑客攻击了暂时不知道。
2. 恶意代码过滤方法写在服务端的话,黑客就不知道其过滤方法,只能慢慢测试,测试过程中会留有日志,这样查看日志还是有效果的。
3. 恶意代码快速从数据库里删除

目前只是这些,如果不足,欢迎大家补充。。。