一、服务简介

恒天安全工程团队主要为国内外客户提供Web系统安全评估,高级渗透测试,紧急安全响应等服务以及自动化安全测试系统等服务。团队拥有中国合格评定国家认可委员会(CNAS)的实验室认可证书,团队安全专家已获得CISP(信息安全人员国家级最高资质),CIIP-A(国家信息安全等级保护认证)等资质。

二、服务内容

1.服务
1.1 渗透测试

【功能】

依据权威的国际和国内安全测试标准,基于自动化安全测试系统,辅以高级安全工程师双重测试保障,采取定制化的安全测试方案,可以对Web、APP、嵌入式系统和区块链相关系统进行安全测试,并生成全方位检测报告,并根据不同阶段的安全现状提供针对性的修复方案。

【优势】

  • 权威的审计标准:
    • 国际标准OWASP ASVS
    • 国内标准GB/T34975-2017
  • 丰富的实践经验:
    • 项目数量超过300个
  • 标准的审计流程
    • 前期交互——计划制定——审计执行和回审
  • 持续的安全服务
    • 测试完成后有持续的0 day漏洞预警
    • 部署专业的安全防御系统,时刻监控系统威胁

xitonganquan1 1 1

1.2 安全合规

【功能】

根据国际、国家标准针对专业领域给定的安全规范,为企业定制测试解决方案,协助客户顺利通过官方的标准测试。范围包括“国家等级保护”、“ISO27001”、“OWASP”、“CNAS” 、“中华人民共和国国家标准(GB)”等。

【优势】

  • 定制化安全测试方案,确保符合标准规范要求
  • 丰富的跨行业成功案例库,既有模板标准化流程,高通过率保障。
1.3 紧急安全响应

【功能】

紧急事件快速灵活响应,精准定位系统漏洞,完成系统加固。同时,分析查找入侵者,防止此类事故再次发生。符合国家YDT 1826-2008(网络安全应急处理小组建设指南),GBT 24363-2009( 信息安全应急响应计划规范标准规范)等标准规范。

【优势】

  • 调查事故原因,查找系统漏洞
  • 开发检测工具,抑制事态恶化
  • 维护公司利益,减少事故损失
  • 分析事故原因,杜绝再次发生

xitonganquan2 2 2

1.4 公司安全管理咨询

ISO27001咨询服务根据ISO27001国际标准,从企业实际业务层面出发,提供专业咨询服务。帮助企业建立专业信息安全管理体系,设立执行层面条款,保障企业信息安全管理可持续落实和执行。

xitonganquan3 3 3

ISMS管理体系流程图

信息安全贯宣制定专业信息安全贯宣计划,从安全意识角度分多块内容,制作月度温馨提醒,季度刊物宣传,周期性海报等,从工作环境中对员工的进行潜移默化的影响,提高安全意识。同时,贯宣手段也用于公司内部制度,内部管理要求等宣传。

信息安全培训安全培训包含新人安全制度培训、员工安全意识培训、信息安全专题培训(钓鱼邮件介绍,国内外信息安全法规介绍,信息安全热门案例分析)等。此外,团队拥有信息安全测试题库,按课程定制考卷,学员成绩直观反馈安全意识漏洞。

2 解决方案
2.1 勒索病毒专项解决方案

【功能】

通过渗透测试服务查找勒索病毒的攻击点,并对系统进行整体加固,同时利用白盾防御系统,防止勒索病毒利用0 day漏洞感染目标系统,防测结合,加倍保障。

【优势】

  • 防测结合。测试查找系统隐藏的漏洞,加固系统。白盾防御保障系统的安全,防止出现0 day漏洞;
  • 100%防御效果。实践证明,该方案对勒索病毒能够达到100%的防御;

xitonganquan5 5 4

2.2 自动化安全测试解决方案

【功能】

结合自动化功能测试,采用基于人工智能的分析技术,在系统测试阶段,自动化查找和定位系统存在的安全隐患。

【优势】

  • 与自动化功能测试脚本结合,测试范围广
  • 灵活集成各类型安全测试工具,可扩展性强
  • 专门漏扫工具sqlmap
  • 批量验证工具POC-T
  • 可定制化测试脚本,实现安全的回归测试

xitonganquan6 6 5

三、案例

1. 渗透测试
1.1 电子商务
案例1

【客户介绍】

该客户属于制造业,主要的产品是白酒。荣列中国企业500强第,连续20余年保持白酒制造业行业第一。恒天与其有着深远,良好的合作关系,是该客户的长期合作伙伴。

【项目特点】

电子商务系统是一类以处理订单交易为核心的系统,这类系统最关键的在于交易和用户个人信息的安全性,五粮液作为其中的代表,其主要的特点如下:

  • 有自身的支付系统,可以进行在线支付,需要确保支付过程的安全性;
  • 用户种类很多,权限问题需要进行重点排查;
  • 和用户交互的功能很多,包括文件上传,修改各类信息等,需要对用户输入过滤情况进行审查。

【服务价值】

主要发现的系统漏洞如下:

名称 过程简介 影响评分
暴力猜解 可以根据系统提示遍历已注册用户名和同时对登录接口没有次数限制,可以暴力猜解用户密码。 9.5
修改任意用户密码 忘记密码功能中的验证码可以暴力破解,从而可以修改任意注册用户的登录密码,登录用户账户,浏览用户信息,执行非法操作等。 9.3
XSS+CSRF 使用XSS获取token,再进行CSRF攻击。 9.2
刷验证码 验证码发送没有做很好的限制,因此可以大量发送手机短信。给企业带来通信损失。 8.6
案例2

【客户介绍】

该客户是中国500强企业、中国大企业集团竞争力前25强、中国信息化标杆企业、国家重点火炬高新技术企业,并为国家工程技术中心和国家级博士后工作站的常设单位,在宁波、上海、深圳、南昌建立了四大研究院。集团坚持做大做强制造业的产业发展方向,目前在家电行业具有较高市场地位。

【项目特点】

该系统是一类以处理订单交易为核心的系统,这类系统最关键的在于交易和用户个人信息、销售信息的安全性,其主要的特点如下:

  • 有自身的支付系统,可以进行在线支付,需要确保支付过程的安全性;
  • 用户种类很多,权限问题需要进行重点排查;
  • 系统交互的数据繁多,需要对数据的完整性进行审查;

【服务价值】

漏洞名称 过程简介 影响评分
XSS过滤不完整 存在至少10处可以注入的功能点 9.5
跨站点请求伪造 可以诱导受害者点击恶意链接 9
文件上传验证不全 可以进行OSS攻击 8.3
SESSION没有httponly保护 可以被JavaScript窃取并发送到攻击者服务器 8
密码明文传输和系统组件敏感信息泄露 容易被攻击者嗅探 7.8
找回密码处无图片验证码 可以通过猜解用户刷手机验证码 7.3
支持对csv等文件下载 可以通过访问csv文件爆破敏感数据 7.1
报错页面存在堆栈跟踪 可以推断代码执行逻辑,代码信息泄露 6.5
没有使用HTTPS传输 容易被攻击者嗅探 6.2
手机验证码构造方法不合适 使用了str_shuffle函数生成验证码,使猜解范围从10^6缩减至151200。验证码实际等效于5位。 6
使用不安全的接收参数方式 部分代码使用GET和POST直接接收参数,破坏了框架的安全编码规则。 5.3
数据库密码加密方式过于简单 直接使用md5加密,一旦被脱库很容易被破解 5
发送验证码处无图片验证码 容易猜解用户和刷验证码 4.8
敏感信息泄露 攻击者可以利用进行针对性攻击 4
文件上传验证不全 可以上传HTML文件导致OSS问题 4
1.2 金融交易
案例1

【客户介绍】

该以“服务实体经济”为根本宗旨,为实体经济在生产供应销售等环节提供多维金融关怀,在社会产能纬度内提供全方位服务,解决企业个人资融资所需。它的融资系统对安全性的要求非常高。

【系统特点】

互联网金融是对安全性要求很高的一类系统,该企业作为其代表有以下特点:

  • 涉及大量用户机密信息,包括银行卡,身份证和营业执照等,需要对可能泄露数据库数据的漏洞进行严格审计。典型的像各种注入漏洞;
  • 用户种类繁杂,各类操作权限管理是系统安全的一个重大隐患,需要对权限漏洞进行深入挖掘;
  • 用户可控的输入有很多,需要对输入过滤情况进行严格审计,防止出现跨站点脚本注入之类的漏洞。

【服务价值】

主要发现的漏洞如下:

洞类型 风险描述 影响评分
SQL注入 应用系统输入未进行过滤 9.6
XSS 应用系统输入未进行过滤 9.0
潜在的文件上传漏洞 可上传恶意文件 8.9
Web应用程序源代码泄露 可能会检索服务器端脚本的源代码,这可能会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息 8.5
用户信息未加密传输 应用系统数据未加密,可见明文密码,用户名等 7.9
Session无Http-Only保护 结合XSS即可盗取Session,从而免用户名和密码登录 7.6
Session分配逻辑错误 同一台机子,用户重新登录Session未变,可造成盗取特定用户账号 7.2
案例2

【客户简介】

该客户是中国大陆两所证券交易所之一。经过多年的持续发展,该客户已成为中国内地首屈一指的市场,上市公司数、上市股票数、市价总值、流通市值、证券成交总额、股票成交金额和国债成交金额等各项指标均居首位。

【项目特点】

拥有iOS端、Android端和Web管理端三个终端,作为典型的交易系统,该系统拥有以下特点:

  • 超高频的资金交易指令,数据传输频率高。
  • 作为交易系统,传输的数据需要拥有安全性,隐蔽性,及防篡改性。

【服务价值】

名称 过程简介 影响评分
无反编译保护 代码可以被反编译查看,并进行修改 9.0
Activity界面劫持 可以造成登陆钓鱼等界面劫持攻击 9.5
无应用完整性检测 结合反编译可以修改代码并重新打包插入恶意代码片段 9.5
会话长时间未过期 有恶意操作风险 8.4
无账户锁定策略 易遭到暴力破解 8.7
无证书校验 存在遭到中间人攻击的风险,通信数据包易被截获 8.8
软键盘未随机分布 调用系统键盘在输入敏感信息时有被监听的风险 7.5
无键盘输入防截屏 在输入敏感信息时存在屏幕截获风险 7.2
无界面切换保护 存在非本人操作信息泄露风险 7.2

案例3

【客户简介】

该客户是一家专注智能投资的企业。公司旨在以智能驱动量化策略,立志用“量化”+“机器学习”优化投资模型,建立全新投资规则。旗下的智语良投APP用数学和统计模型来研究市场、验证策略以及实盘买卖的量化投资,和拥有强大的数据分析、拟合、预测能力的计算机相结合,构建智能化投资策略。

【项目特点】

系统是一个典型的移动端应用,其安全性的需求具有以下特点:

  • 代码的安全性。是否可以进行逆向工程,进行反编译,获取程序源代码;
  • 由于是一款重点在提供投资策略的APP,应该高度重视其数据安全,防止数据泄露, 避免目录遍历漏洞;
  • 由于该系统会进行大量的数据分析,也重视用户输入的数据,尝试输入各种脏数据,观察系统是否会崩溃,同时,尝试输入恶意字符,包括命令注入,SQL注入等,观察系统是否会暴露敏感信息;

【服务价值】

名称 过程简介 影响评分
重置任意用户密码 攻击依赖于两个漏洞:可以猜解用户手机号。所有带有手机号的请求都可以使用脚本猜解该手机号是否存在;

验证码直接出现在请求验证码的回复中。知道手机号就可以重置该用户密码。

10.0
可以刷验证码 在注册页面,手机验证码发送前没有图片验证码识别,导致可以通过更改手机号大量发送验证码。 9.6
部分关键操作功能缺失 由于系统识别用户的标志是个人手机号,所以通过修改手机号可以“帮助”别人试用某些策略。 9.3
基础设施配置不合理 生产环境中MySQL密码是123456,同时,没有限制IP地址的连接,应该只对部分用户开放连接;性能测试和功能测试的远程桌面和数据库用户名和密码与生产环境一样。 8.7
生产环境部署存在隐患 主要有两个方面:Web服务器允许目录遍历;

生产环境提供了各个接口的帮助页面。

8.5

1.3 在线教育

【客户介绍】

该客户是一家专业从事在线教育自主研发的互联网公司。公司专注K12领域,为中国的学生、家长及老师提供基于在线题库、线上作业以及专项测评等系统功能的互联网学习产品。

【项目特点】

在线教育系统主要的特点在于其与客户(尤其是学生)之间有大量的交互,同时,不同用户之间,比如老师和学生也有大量的交互。通关教育作为其代表有以下特征:

  • 在线教育的自身特性决定着其存在大量的输入框,尤其是试题解答部分。这部分的输入框可能会由于过滤不严格带来注入攻击。典型的就是跨站点脚本注入;
  • 系统有其自身的支付系统,包括自定义的虚拟货币“通关卡”,对于这类货币的保护是系统安全的很关键部分,应该重点放在卡被非法盗取上。同时,该卡还有“转赠”的功能,对于该过程的安全性检测也是必不可少的;
  • 系统不同用户之间存在频繁的交互,包括老师和学生之间私信和试卷,学生,老师和管理员之间的私信。需要保证该交互过程中不能出现破坏或盗取对方信息的漏洞。

【服务价值】

主要发现的漏洞如下:

漏洞类型 风险描述 风险等级
CSRF跨站点请求伪造 应用系统对关键的操作未进行token保护 9.1
暴力破解和DOS攻击 登陆过程可以进行暴力破解和DOS攻击 9.0
反射型XSS 应用系统输入未进行过滤 8.6
未使用https 用户名密码明文传输 7.4
部分异常的报错 存在部分错误页面报错信息过于详细 7.1
数据验证不全面 部分数据,如用户名和密码,系统只进行了前端验证 6.4
登出重新登录功能未实现 用户退出后并未销毁用户的session信息 5.6
密码设置过于简单 只允许用户以6位数字为密码 4.3

1.4 门户网站

【客户介绍】

该客户是一家国际领先的科技公司。

【项目特点】

门户网站是一个企业的标志,它有着宣传企业文化,介绍企业产品和服务的作用,对企业的发展有着非常大的影响。因此其安全性的重要不言而喻。该网站作为代表具有以下特征:

  • 开源系统在此类网站中占有很大份额,常见的一般是WordPress。因此对于这类开源系统的公开漏洞是安全审计很重要的一部分;
  • 系统存在管理员账户,可以管理系统中的文章和新闻,对于管理员信息的保护也是安全测试的重点之一;
  • 为方便系统管理,往往管理员会启用相关的插件,而插件的安全性并不一定能够有保障。保证系统使用的第三方插件的安全性也是保障系统安全的关键。

【服务价值】

名称 过程简介 影响评分
存储型跨站脚本攻击 字符过滤不严格,可以进行存储型XSS攻击 9.1
反射型跨站脚本攻击 字符过滤不严格,可以进行反射型XSS攻击 8.4
部分服务版本存在漏洞 测试环境下的Vsftpd和Openssh存在漏洞 7.1
Cookie属性设置不到位 没有支持HTTP only和secure 6.9
部分URL中带有不应含有的参数 部分URL中带有了add和userid等可以暴露操作的信息 6.4
权限漏洞&目录遍历 普通用户访问一些内部的资源,如.htaccess文件 5.3
浏览器缓存标志位设置 建议尽量做到无缓存 5.0
弱密码机制 创建用户时可以使用弱密码1111 4.9
不全面的服务配置 对于php 的fastcgi配置路径和图片路径较大;对特殊后缀名的文件没有进行访问的限制,如tar;404等错误页面暴露系统信息 4.7
没有全站使用HTTPS协议 外部页面没有使用HTTPS安全传输协议 2.3

 

1.5 医疗卫生

【客户简介】

该客户自2002年涉足医疗产业,是国内医疗服务行业较早的社会资本办医企业之一,在十余年的发展历程中一直积极探索民营资本办医的特色道路,始终专注于为社会大众提供优质的医疗服务。 目前,该客户已在全国运营或筹建了14家医疗机构,包括4家综合医院、10家专科医院,合计开放床位1800余张。

【项目特点】

该系统是一个医疗产品采购平台,涉及较多的资金交易,所以该系统安全的重要性不言而喻。该系统的特点如下:

  • 角色复杂,不同角色之间的权限不同,需要排查水平权限与垂直权限的问题;
  • 有交易功能,需要对交易过程中资金的安全性做测试;

【服务价值】

名称 过程简介 影响评分
本地文件包含 可以得到服务器的账号密码从而控制服务器和服务器,也可以在服务器上挂木马,感染访问的用户,获取机密信息 9.5
目录遍历测试 能删除整个数据库,也能任意造数据,可以得到class代码及相关机密信息 9.5
任意文件下载 可以遍历数据库中某些数据表的所有数据 9.0
跨站请求伪造 攻击者可以利用该漏洞获取用户账号信息,从而对系统进行恶意操作 9.0
跨权限操作 例如采购员能非法获取所有药品的价格信息;普通用户能得到管理员的权限 8.5
敏感信息泄露 该接口返回了密码信息,通过md5解密,可以直接获得所有用户的账号与密码 8.0
传输加密 通过网络嗅探能直接截获敏感信息 8.0
未重置登陆验证码 可以伪装成受害用户,进行非法操作 6.5
会话标识未更新 可以伪装成受害用户,进行非法操作 6.5
未开启登陆验证 允许攻击者进行爆破攻击 6.5
弱密码修改 密码过于简单,容易被猜解 6.0
不安全的会话过期机制 SESSION不及时过期,给攻击者创造攻击机会 5.5
弱密码重置 建议默认密码增加复杂度例如随机6位数字,字母混合 5.0

 

1.6 售后系统

【客户简介】

该公司是国内某知名家电龙头企业之一。

【项目特点】

现代企业的业务复杂而庞大影响极其复杂,该客户作为现代企业的代表为了适应日益增长的业务需要开发了一套先进的售后的系统。为验证该售后系统的服务环境是否具备基本的安全性以及防御能力,委托我方对该系统的服务器部署环境进行了一次多方面的渗透测试。该系统有以下特征:

  • 支持多种访问信道。系统存在移动端和web端,各个系统相辅相成,有共有部分也有各自特色;
  • 系统角色复杂。系统用户种类繁多,基本用户包括顾客和管理员,同时,管理员又可以自定义各种权限的用户,用户权限控制是很关键的部分;
  • 业务逻辑复杂,为实现复杂的功能使用了多种框架和技术,各种框架技术的耦合是否会带来安全风险是重要的一环。

【服务价值】

名称 过程简介 影响评分
非预期类型文件上传 通过修改请求中的文件地址上传木马文件, 感染下载木马的企业用户。 9.5
恶意文件上传 通过上传后门程序,控制了整个服务器及数据库,该漏洞能给企业带来不可挽回的经济损失。 9.5
跨域资源共享 诱导用户点击恶意链接获取用户cookie,伪装成用户进行非法操作。 9.3
水平权限 允许跨权限操作,可以获取其它用户的敏感信息。 8.0
未使用HTTPS协议 请求中的数据能被嗅探。 7.5
敏感信息通过未加密信道 敏感信息明文传输。 7.5
portal账号枚举 登录没有验证,可以枚举用户账号,破解系统。 7.1
会话超时后认证信息未失效 Session不及时过期容易给攻击者创造攻击机会。 6.8
登出后认证信息未失效 过期Session会被恶意利用。 6.8
无锁定机制 登录没有错误锁定,可以枚举用户账号 4.5
弱SSL/TLS算法及传输层保护不足 传输的信息容易被破解,并加以利用。 3.5

 

1.7 地产集团

【客户简介】

该客户经过多年的发展和积淀,现已成长为国内多业态、综合型的地产商,涉及超高层建筑、城市综合体、精品住宅、产业园区地产等多业态开发。

目前,该客户已在华东、华北、华中、环渤海湾、长江经济带等战略区域十余座城市40个项目联动布局,并逐渐推进澳洲、加拿大等海外地产的布局。

【项目特点】

地产系统是一类以处理订单交易为核心的系统,这类系统最关键的在于交易和用户个人信息、销售信息的安全性,该地产作为其中的代表,其主要的特点如下:

  • 网络拓扑复杂,系统由多个节点组成,每个节点负责不同的业务处理;
  • 系统交互较多,包括文件上传,修改各类信息等,需要对用户输入过滤情况、输出编码情况进行审查。

【服务价值】

名称 过程简介 影响评分
存储式xss注入 系统存在两处xss漏洞注入点,能获取用户的会话信息 9.5
恶意文件上传  通过上传后门程序控制整个文件服务器,能对文件服务器执行任意操作,例如删除文件,下载文件等 9.5
敏感信息未加密 密码等敏感信息未加密,存在两处密码未加密。 8.6
权限控制 普通用户能访问管理员的接口。 8.1
会话不及时过期 用户登出后token没有及时失效,通过注销用户的token成功发起请求。 8.0
账户枚举、密码爆破 登录没有锁定机制也没有验证码功能,能进行暴力攻击。 7.8
弱密码变更 管理员用户可以在系统管理中修改用户密码,无密码复杂度限制,用户自行修改密码也没有复杂度限制。 7.5
数据完整性 系统传递过多的无用数据,且传递的数据均写入数据库,在对请求尝试拦截修改信息时,成功修改不应该修改的信息。 7.4
堆栈跟踪 任意一个请求尝试拦截注入错误信息,点击详情,存在堆栈跟踪安全问题,攻击者可以根据错误信息定位系统组件存在的漏洞,从而进行针对性的攻击。 2.5

 

1.8 铁路系统

【客户简介】

该客户是中国铁路总公司管理的大型铁路运输企业的18个局之一。是中国铁路总公司下属的特大型运输企业,管辖范围跨江,浙,沪,皖,三省一市。

【项目特点】

众所周知,铁路系统庞大而复杂,涉及各种调度系统、运营系统以及其他相关子系统,在实时性、准确性、安全性上的要求极其严格,而其中的安全性作为重中之重,又体现多在方面,包括数据安全、交易安全、支付安全等,此类系统的其主要特点如下:

  • 业务系统庞杂,代码行数多,代码审计层面需要找准审计点,针对漏洞收集,做到不遗漏,不重复。
  • 各子业务系统之间存在交互,边界安全难以保证。
  • 数据极其敏感,在数据传输,数据存储方面需要重点审核。

【服务价值】

名称 过程简介 影响评分
SQL注入 可以获取系统全部项目的信息,上传后门控制服务器。挂马,挖矿攻击系统所有的合法用户。 9.5
CSRF 可以使用钓鱼的方法诱导管理员删除机密信息,新增系统用户,从而进一步危害整个系统。 9.5
SESSION没有httponly属性 可以发送到其它域,从而攻击者能够冒用户身份登录。窃取机密信息。 7.5
SESSION没有Secure属性 允许系统通过HTTP协议传输SESSION,容易被攻击者嗅探,从而冒名登录,进行非法操作。 7.5

 

2. 紧急安全响应
2.1 威胁勒索事件

【事件描述】

某软件公司程序员的电脑中某个目录下所有的代码文件,均被恶意加密为后缀名为.zepto的不可执行文件,而且源代码文件还没有备份,只有向攻击者指定的账户内转去指定的赎金才可以获取解密密码,重获源代码文件。

【事件处理】

针对此次恶意勒索攻击事件,安全组采用以下方式解决:

1.将受害者电脑立即断网,对该用户进行修改密码,暂时撤销用户权限等操作,防止病毒进一步传播;

2.采集攻击指纹,编写测试脚本,确定整个公司受害者的数量,并及时加以控制;

3.追根溯源,寻找证据,确定勒索病毒的来源、起因以及传播过程;

4.制定规范,提醒所有公司员工对安全的重视,防止类似威胁的二次发生。

【最终效果】

  1. 找到了公司全部受害者(5名),确定了其中一名为最初传染源;
  2. 确定了病毒传播的方式。首先攻击者使用邮件的方式发送恶意的附件诱导第一个受害者点击,受害者点击后,该恶意程序释放出恶意的代码,代码首先对该电脑所有文件进行加密,然后扫描局域网内所有可读可写的文件夹,对文件夹下的文件进行加密;
  3. 找到了公司系统的漏洞:共享文件夹权限设置不合理。提出针对性的修补建议:加强对员工新建共享文件夹的权限审核,避免出现任何人都可操作的共享文件夹。
  4. 发布了相关的安全规范,杜绝此类事故的再次发生。
2.2. 恶意入侵事件

【事件描述】

某Web系统被入侵,危害巨大,表现在以下三方面:

  1. 系统中存在大量的攻击者精心构造的商品页面;
  2. 系统正常功能被篡改,合法用户无法通过搜索引擎到达系统;
  3. 受害者的公司免费为攻击者做了广告。在Google、Bing以及Yahoo等搜索引擎中,搜索受害者系统域名,显示的搜索结果全部是非正常的标题链接,没有一个是正确的标题。

【事件处理】

安全组给出四步解决该安全事故,介绍如下:

  1. 恢复正常生产。主要有两步:
    1. 评估入侵带来的损失,备份入侵的证据;
    2. 尽可能恢复入侵前的数据,保证系统正常运行。
  2. 确定入侵程度。主要有三步:
    1. 消除攻击者留下的后门,防止二次入侵;
    2. 检查服务器,防止服务器沦为“肉机”;
    3. 检查攻击者入侵公司网络的程度,防止出现其它损失。
  3. 查找入侵者。主要有三方面问题要处理:
    1. 确定入侵者入侵使用的物理设备,IP地址,mac地址等;
    2. 确定入侵者入侵使用的方法和利用的漏洞;
    3. 调查入侵者的入侵目标,判断是否达到了其入侵目标。
  4. 加强安全防护。主要从两方面对系统加固:
    1. 确定系统薄弱点,修补攻击者利用的漏洞;
    2. 对系统进行安全审计,防止此类事故再次发生。

【最终效果】

最终达到了以下四方面效果:

  1. 在最短时间内恢复了系统正常的功能,减少了事故带来的损失;
  2. 剔除了攻击者入侵留下的各种数据以及代码层次的后门;
  3. 大致确定了攻击者各种物理信息,以及入侵的方法和系统漏洞;
  4. 对系统漏洞进行了修复,同时,进行了安全审计,对系统进行加固。
2.3 盗刷验证码事件

【事件描述】

攻击者利用脚本代码,模拟HTTP请求,短时间内,针对短信验证码接口发送大量请求,数十万短信验证码的一天内损失殆尽,对公司财产造成巨大损失。

【事件处理】

此类盗刷短信验证码攻击出现的频率很高,主要原因是对接口的访问没有进行频率限制。但是,如果仅仅限制一段时间内相同IP的对接口的访问次数,那么攻击者可以轻易通过伪造IP再次进行自动化脚本攻击。

最后给出了最简单最直接最有效的建议为在发送短信验证码之前,需要先经过图形化验证码的验证,这样就可以区分计算机和人的操作,当然,图形化验证码要保证一定的复杂度,以防止被OCR技术轻易识别。

【最终效果】

通过在获取短信验证码之前,添加无法通过OCR准确识别的数字验证码,以此来防止攻击脚本的自动化攻击,虽然降低了一定的用户体验,但是也从根本上解决了短信验证码盗刷的问题,减少了公司的财产损失。

2.4 恶意挖矿病毒

【事件描述】

攻击者利用U盘传输该类病毒,被感染后,迅速查找网络中的可读可写的共享文件夹。对其进行加密后建立快捷方式链接。从而进一步感染网络内的其它用户,并连接服务器进行挖矿,占用系统计算资源。

【事件处理】

这类挖矿病毒时下非常常见,因为受比特币价格上涨的影响,挖矿成为一种较为常见的获取比特币方式。但是,这需要巨大的算力,而个人往往是负担不起的。所以,导致这种攻击有利可图。安全团队对该病毒进行了以下处理:

  1. 确定传播方式。通过反编译方式确定该病毒的感染方式,制定病毒清理方案;
  2. 切断病毒传播途径。在保障系统正常运行的基础上,隔断病毒的传播途径。为后续保障处理成果打下基础;
  3. 地毯式查杀该病毒。由于市面上并没有该病毒的任何 指纹特征,并且病毒的表现方式有很多,容易漏杀误杀。因此,采用人工排查的方式逐个排查受害机器。清理病毒。

【最终效果】

通过集中排查清理掉了300多台受感染的机器,使系统恢复了正常运行。持续观察2周后并未发现有新的感染迹象。

3. 自动化安全测试系统
3.1 某国际银行

【客户简介】

该客户总部位于美国马萨诸塞州波士顿,在全球金融资产服务业处于领先地位。现为全球最大的托管银行和最大的资产管理公司之一。

【项目特点】

该客户每天都会有大量需要上线的系统,但是传统的安全测试系统受认证和爬虫技术的限制,测试范围小,发现的漏洞误报率高。

【服务价值】

利用自动化安全测试系统,已经成功为该客户检测了数十个系统的安全性。发现的漏洞包括SQL注入,XSS,CSRF等高危漏洞。提高了系统上线的效率,保证了上线系统的安全性。

联系我们
中国 0571-88270208 美国 +1-857-239-9661