紧接着上一篇的继续:企业安全建设之与灰黑产对抗的两个多月(一)
上一篇留了个小问题,关于入口登录处黑产怎么利用的,这篇继续。
0x01 问题描述
某天客户反馈了一张截图,从截图内容可以基本上判断就是从我们的后台系统拍的,所以就是后台有问题。
但是,系统后台是有两个限制的:
- 图形验证码
- 访问频次限制
那是怎么回事呢?
0x02 事件分析
通过后台接口收集,然后跑了下所有接口,并利用不同权限的用户都跑了下,基本上可以确定后台入口的问题了。那么找到一个可疑点之后就要分析下了入口哪出问题了。
最快的分析方法是什么?当然是分析日志啦。
还好刚入职的时候就舔了大哥,死皮赖脸的让大哥把日志都做下,并定时备份了。
先看下登录接口日志的请求量
从日志中可以看出,这是使用了代理IP,那基本上可以确定后台的入口限制已经被突破了。
后续的入侵分析,另外再说。
但是一个日志不能给开发一个交代啊,毕竟目前后台是有一些限制措施的,又不是产品经理,没有权利平白无故加需求会被开发小哥哥打的,所以一定要复现下,这样找开发的时候也有说服力。
接了个图形验证码的接口,搜集了下代理IP,写个脚本就开始验证码了。
爆破了十个小时,功夫不负有心人,成功爆破成功了。
只能说黑产真的是直接啊,没有那么多花里胡哨,就是干~
0x03 修复加固
问题找到了,那就要推动修复加固、问题闭环了。
给开发说了两个加固方法:
- 增加图形验证码的复杂度
- 增加短信验证码验证,并且设置错误次数5次即失效
另外,给大家段代码,自己研究下喽
|
|
下一篇,进行定点分析,也就是以某个用户的纬度全面分析