在这期间,客户的网站受到攻击,客户找到了公司,公司找到了我,所以有了这次紧急应对,第一次做,记录了整个过程。
一、做什么
起初,我不知道该做什么。我很困惑。通过老板的教导,我总结了以下个人认为非常重要的要点。事件核实,发生了什么,什么时候,是不是紧急,影响程度等。明确攻击动因,别人为何攻击我们?核实攻击手段,利用哪些漏洞进行攻击,我们的app是不是有高危漏洞,是某个中间部件,还是其他攻击手段,制定解决方案,包括临时解决方案和最终解决方案。临时解决方案为了快速应对问题,最终解决方案为了彻底解决问题。跟踪,尽可能明确攻击者的身份。形成书面安全报告,说明事件原因的结果,说明事件的责任归属。有了上面的指导,就可以第一次应急响应了。
1.事件的核实
客户向公司投诉收到大量邮件认证代码,登录服务器发现大量邮件认证代码的请求。红色标记是失败的次数,非常多,可以核实有人利用邮件认证代码接口进行攻击。
2.攻击动因
因为是大量的邮件认证代码,攻击动因有两种。(1)有人瞄准我们的客户,恶意消耗我们的资源(但我们的客户是公安),所以可能性很低。(2)我们的服务器被利用,有人利用服务器攻击特定的人,我们只是其中之一。因而,短信验证码轰炸平台很有可能利用了我们的资源。后面打电话给投诉用户,投诉的人告诉我们,他收到了很多平台的邮件验证码,同事也收到了。(可以明确是短信验证码轰炸)
3.攻击点的分析
首先,开发决定了哪个接口可以发送邮件认证代码,可以发送邮件认证代码的有3个。通过开发,我们的应用程序明确了每个用户每天只能发送10条,每个IP可以发送100条。因而,我们首先自己的机制是不是有效,决定邮件的认证代码机制是不是有效,这里没有安全问题。因而,我继续检查我们的注册接口,发现获得邮件认证代码不需要输入图像认证代码。如下图所示,可以直接请求邮件认证代码,引起大量爆破。从这里可以看出是我们产品的问题,好产品在获得邮件认证码之前需要手动认证防止爆破。