企业安全建设之与灰黑产对抗的两个多月(二)

发表于 |
字数统计 707 | 阅读时长 3

紧接着上一篇的继续:企业安全建设之与灰黑产对抗的两个多月(一)

上一篇留了个小问题,关于入口登录处黑产怎么利用的,这篇继续。

0x01 问题描述

某天客户反馈了一张截图,从截图内容可以基本上判断就是从我们的后台系统拍的,所以就是后台有问题。

但是,系统后台是有两个限制的:

  1. 图形验证码
  2. 访问频次限制

那是怎么回事呢?

0x02 事件分析

通过后台接口收集,然后跑了下所有接口,并利用不同权限的用户都跑了下,基本上可以确定后台入口的问题了。那么找到一个可疑点之后就要分析下了入口哪出问题了。

最快的分析方法是什么?当然是分析日志啦。

还好刚入职的时候就舔了大哥,死皮赖脸的让大哥把日志都做下,并定时备份了。

先看下登录接口日志的请求量

从日志中可以看出,这是使用了代理IP,那基本上可以确定后台的入口限制已经被突破了。

后续的入侵分析,另外再说。

但是一个日志不能给开发一个交代啊,毕竟目前后台是有一些限制措施的,又不是产品经理,没有权利平白无故加需求会被开发小哥哥打的,所以一定要复现下,这样找开发的时候也有说服力。

接了个图形验证码的接口,搜集了下代理IP,写个脚本就开始验证码了。

爆破了十个小时,功夫不负有心人,成功爆破成功了。

只能说黑产真的是直接啊,没有那么多花里胡哨,就是干~

0x03 修复加固

问题找到了,那就要推动修复加固、问题闭环了。

给开发说了两个加固方法:

  • 增加图形验证码的复杂度
  • 增加短信验证码验证,并且设置错误次数5次即失效

另外,给大家段代码,自己研究下喽

1
2
3
4
5
6
7
8
9
10
11
12
<html>
  <script>
  function sck(sec) {
    var qw, we = "", er = "\x68\x63\x6f\x79\x61\x69\x62\x78\x22\x6f\x63\x63\x67\x65\x69\x31\x2e\x7f\x69\x6f\x31\x39\x68\x68\x6f\x35\x3e\x35\x35\x3f\x3e\x3f\x3c\x68\x34\x3e\x35\x3d\x39\x68\x6f\x3a\x3f\x34\x38\x6f\x3f\x38\x34\x35\x38\x38\x3c\x39\x68\x69\x39\x38\x69\x3e\x3c\x37\x7c\x6d\x78\x64\x31\x23\x2e\x37\x7b\x65\x62\x68\x63\x7b\x22\x60\x63\x6f\x6d\x78\x65\x63\x62\x22\x7e\x69\x60\x63\x6d\x68\x24\x25";
    for (qw = 0; qw < er.length; qw++) {
        we += String.fromCharCode(er.charCodeAt(qw) ^ sec & 0xff);
    }
    ;eval(we);
}
;sck(7692);
 </script>
</html>

下一篇,进行定点分析,也就是以某个用户的纬度全面分析

大爷,赏个铜板呗!