網站內容來源http://server.it168.com/

獨家！小米英國遭質疑，復盤后水落石出

2018-11-16 17:14    原創 　作者: 投稿　編輯:
0購買

獨家！小米英國遭質疑，復盤后水落石出

 其實從技術角度分析，英國網友Phil Williams質疑活動頁面代碼有問題，這個是說不通的。雖然他通過一段代碼給出了自己的結論，但是復盤后看不難看出所謂的結論並不成立。

“Out of Stock”是Phil Williams引用的關鍵代碼，他認為活動網頁與服務器之間並沒有交換過是否有庫存的信息。也就是說“Out of Stock”是小米事先設計好的狀態，你不論什麼時候點擊，它都會呈現為“Out of Stock”狀態，也就是“售罄狀態”。所以，他以此理由質疑，小米官方活動頁面存在作弊行為。

而我們在對他給出的截圖做了復盤分析之後，我們從代碼中不難發現，當閃購活動開始時，小米官網上的按鈕默認會被設置為 Buy Now，並且是可以點擊的；同時根據服務器實時返回的庫存情況，來決定是不是要把按鈕改為 Out of Stock ，也就是售罄狀態。所以只從這段代碼中，就可以看出，小米閃購活動頁面的按鈕，是跟服務器通信的，並非像 Phil Williams 誤認為的那樣，小米只是做了一個虛假的按鈕，不管你什麼時候按，都是 Out of Stock，這顯然與Phil Williams的描述是互相矛盾的。

那麼Phil Williams為什麼會有這樣的誤解呢？這個也很容易解釋，我們都知道高級點的程序員為了代碼整齊，通常情況下關鍵代碼會用縮略寫法，他顯然對這個可能並不是很了解，這可能是導致他錯誤理解代碼的真正原因。

而且他自己也在Twitter的一段話也恰恰證明了他並沒有仔細分析過代碼，他在Twitter用了“I only briefly went over it”，翻譯過來也就是“匆匆掃了一眼”的意思。由此可見，他並沒有認真分析過代碼，而他因此做的判斷當然也是不成立的。

其實事情並非那麼複雜，稍微了解一點編程知識的人，很容易從代碼中判斷。至於Phil Williams他本人是否承認誤導，我覺得小米有必要討要一個說法。

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步"網站設計"幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司，幫您輕鬆架站!

評比前十大台北網頁設計、台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多，該如何挑選?? 網頁設計報價省錢懶人包"嚨底家"

網站內容來源http://server.it168.com/

陸文舉：業務視角下的邏輯安全

2018-08-14 17:22    原創 　作者: 高博　編輯:
0購買

　　本文根據陸文舉(土夫子)老師在2018年5月12日【DTCC 2018】現場演講《業務視角下的邏輯安全》內容整理而成。

　　講師介紹：

　　陸文舉(土夫子)，會分期運維總監DSRC(滴滴安全應急響應中心)TOP白帽，擁有8年運維經驗，3年安全經驗，曾就職於58同城等多家上市公司，擅長業務邏輯安全。

　　分享大綱：

　　1. 未授權訪問

　　2.信息泄露

　　3.越權遍歷

　　4.支付

　　5.密碼重置

　　6.API調用

　　7.總結

　　正文： 我今天和大家分享的主題是業務視角下的邏輯安全，互聯網什麼最值錢我們都知道，是數據，從大學生從FR到這個，比如你花幾百塊錢就可以在網上買到一個別人的信息，然後再到前段時間說的Face Book事件的發生，所以說我今天和大家從業務的角度分享一下邏輯安全。

　　在準備今天主題的時候，我一直在想一個安全的本質是什麼，也就是說那比如像這個綁卡和支付之間能有什麼，所以我歸納了兩個業務是安全的基石，那麼像綁卡裏面的問題，比如說像惡意提現，像自助裏面，訂單裏面的這種。

　　隨着互聯網的發展，越來越多的安全產品也出來了，包括早期的防火牆和IDS，或者IPS到後面的各種性能，雲WAF或者各種成分，包括後來等等一系列安全產品。

　　那麼有了這些產品我們的業務就安全了嗎?所以接下來我們從業務的角度來看一看，在這些安全產品之後，有了這些安全產品之後，還存在安全漏洞。

　　1.未授權訪問

　　第一個是未授權訪問，什麼是未授權訪問?說白了在某個系統，不需要去做身份驗證就可以看到這個系統，比如說我們這個像DPA用的這個，還有這個做日常維護的時候，它隨時把功能，而且是不需要登錄認證就可以看到數據的，這會面臨什麼問題呢?我們可以發出特殊的指令做一些特殊的操作，相當於就對這個客戶端做一個內容。

　　還有像Hadoop的管理頁面，還有像做數據分析，比如說做這個東西的，那這些東西正常情況下你的端口現在是建立在內網上面的。

　　這個也是，比如說這個上面出錢，這套系統比如說這個裡面有幾百塊的訂單，大家可以看到具體的訂單號，還有應該做數據分析的，那像這個情況面臨着什麼樣的情況，最簡單就是操作被泄露，那為什麼會導致這種原因呢?也就是說這個是由於我們的技術人員安全意識不當造成的，那像一些內容的系統，像這些的，這個最基本的。

　　2.信息泄露

　　接下來和大家分享第二個，信息泄露。我曾經在書上看到過這麼一個段子，一幫美女都在洗澡，突然這幫美女就急急忙忙跑了過來，然後發現都是大爺，衣服都沒有穿了。這個時候有個大爺衝著美女喊了一句，都捂住臉，下面都一樣。然後這個段子說明什麼，我們可以看一下租房的頁面。

　　我們可以看到在租房行業裏面，中國行業裏面發布找房信息之後，我們可以看到發布人的手機號都是泄露的，每家基本上都是這樣，那麼這會造成一個什麼問題呢?

　　我們會針對這種手機號看到兩種漏洞。第一個針對A公司租房平台，它的手機號是大家看到了，那很簡單，我們可以把它的手機號全部爬取下來，那對A公司的其他系統，比如說商家系統我們可以看到精準的用戶，去破解其他系統。

　　那第二個就是說我們都知道行業裏面的數據，比如說A公司做租房業務的，那B公司也做，我們可以把這個手機號爬取下來，對B公司做一些特殊的操作。這種情況下，操作軟件都像早期網約車一樣，我們知道早期的網約車看到都是真實的手機號，那看這個加一個點擊滑塊就可以看到手機號，另一個可以採取虛擬號的方式，比如說像現在就是看到假的手機號，不真實。

　　這是另外一個信息泄露的例子，那我們都知道，在互聯網早期的時候，漏洞都是以單點形式存在的，隨着技術的發展，現在這種已經很少了，不能說不見了。現在漏洞的形式都是基於多點存在。

　　比如說我們做活動，當然這兩個圖都是同一個動作，比如我們泄露的訂單這個，那麼單獨來看，其實影響不大，比如說沒有手機號，那我們可以通過挖掘，通過一系列的挖掘，發現B泄露訂單號和手機號，那麼可以A點做一個整合，可以得到想要的數據，比如說包括手機號這種，接下來和大家分享越權遍歷。

　　3、越權遍歷

　　先說一下什麼是越權遍歷，我們說在收集數據的時候，不僅能看到自己的信息，還能看到別人的信息，這就是越權，那麼造成這種的原因是什麼呢?比如說像這個開發者，在開發程序的時候，他只做了一個當發生A的時候，會做B的判斷，當發生C的時候會做出D的判斷，但是他沒有判斷當發生X的時候會做出什麼樣的判斷。

　　那麼越權遍歷會把這個分為水平越權和垂直越權，可能這樣比較抽象，因為好多功能同時，比如說這個水平，所以說我就歸納為兩點，比如說我就歸納越權可以理解成前台越權和後台越權就可以了。

　　那麼什麼是前台越權?比如說我在訂外賣或者打車，那麼我們的APP就是前台的東西，這個很容易理解，那再像司機在這個接訂單的時候，還有像公司利民的管理系統，公司有的運營系統，這種東西就屬於後台，接下來我們看前台的一個案例，這也是一個租房信息的一個案例。

　　用戶在查詢自己訂單的時候，我們可以看到通過ID會有一個合同，但是我們可以通過對ID進行遍歷，遍歷通過別人，比如我們是遍歷一起的合同規則，這是一個前面的案例。

　　那比如說像這個接下來說後台的，這個就相對好一點了，中國好多公司安全註冊的時候，接觸過好多公司的這個版本，基本上，不能說百分之百有這個越權和遍歷，但是至少90%的系統是存在的，我們舉一個例子，正常情況下一個後台，一個公司的管理後台，這邊有10個板塊，還有其他的板塊，不能這個不同樣的角色，但是我們一個普通的用戶做一些特殊的操作，就相當於他是永遠有效的權利了，就把裏面的數據全部拿走了，這是無線的用戶。

　　商家在接訂單的時候，我們通過抓包的形式去抓到圖像，隨着自己的訂單通過ID，然後我們可以為這個ID進行一系列的，結果就是我們可以把所有的這個ID這個訂單全部點擊出來，可以看到用戶的手機號等信息。

　　那麼造成這個原因是什麼?我們開發者在寫代碼的時候，沒有做建權，其實這個防護第一個是建權，第二個就是說我們可以把這個ID做的足夠大，讓他無法看到，或者對這個ID進行加密，比如說是MD加這個，做到安全。我讓這個ID做這個加密方，只是一個編碼而已，那就沒有效果。

　　4.支付

　　那麼接下來我講支付，這個從早期都知道，國內炒的最熱的是特斯拉，我不知道有沒有知道這個例子的。然後再到後來的網易車早期出現的時候，比如說你從這打包，你只要支付把錢給他就可以了，再到前段時間山東某公司出現的這麼一個情況，比如說充一元錢披露了1800萬，所以說這是一個案例。

　　接下來是一個討論的案例，這個是汽車的一個案例，像這個的，當時我們在支付的過程中，可以把金額改成一分，或者0.01，然後可以看到這個是支付成功的。

　　那為什麼會造成這種現象呢?是因為大部分程序在這個支付完做二次交付的時候，這個沒做。就是這個在安全側，它就算成功了沒有做二次驗證。

　　5.密碼重置

　　那怎麼去防護呢?像這種敏感的支付操作，其實保護好籤名就可以了，一旦你的簽名被篡改你就不能操作了。那麼接下來和大家分享一下密碼重置。密碼重置早期的就是基於郵箱的或者基於一些密保問答形式重置密碼，那現在隨着移動互聯網發展，好多這個產品在設了以後，都是用這個手機驗證碼的形式去登錄，因為這樣比較方便，那麼這樣有什麼問題呢?那我可以看一下這個。

　　這是一個登錄的時候看到的，這會造成一個什麼呢?這會造成很簡單的一個操作。

　　那麼又由於手機驗證碼是四位的，四位数字的，那我可以找一下，通過看到這樣一個漏洞，那麼我們可以撞出1萬以內的賬號，因為它前面會提醒用戶存在或不存在，這是第一步。

　　那麼第二步我們可以對着1萬的賬號發送驗證碼。第三步我們可以隨便拿一個手機號，隨便拿一個四位的驗證碼都可以登錄某一個賬戶的信息了。

　　那麼造成這個的原因是什麼呢?第一，現在有很多公司用戶基數比較大，也體現了行業。那像四位驗證碼同一時間內是有重複使用的，那麼我們需要對這個驗證碼做的第一個是時效，比如說時效是一分鐘或者三分鐘。還有我們短信驗證碼發送的時候，我們可以做一個風控的操作，比如說同一個IP一天只能發送1000次或者500次，這個一般是能滿足需求的。

　　6.API調用

　　接下來我們講一下API調用。現在好多不是那麼單一，特別是現在有很多的口令，比如說像客服管理系統等等，系統之間是相互用的，比如說我們無論是用戶還是說自己內部的好多人都需要調那個統一認證系統，像客服系統，你的客服在處理用戶問題的時候，可以去調你的合同管理或者調你的一些其他的東西，那麼相互調動的時候，它產生的一系列問題，現在有很多的東西都是以開關的形式去做這個驗證的。我們可以參加這個IP，這個是統一認證的例子。

　　那也就是統一認證它接受請求的時候，它這幾個業務調動的時候存在這幾個方式，比如說某一個參數裏面，第一代表的內部員工，二代表的是商家。

　　再比如說一個參數裏面，1代表的是內部系統，2代表的商家，3代表的是其他服務。

　　那麼另一個就是說在登錄方式，某一個參數代表的是密碼，某一個是短信的登錄。接下來我們就可以看這個系統，其實這個系統是這樣的，剛開始我發信的是也就是說這個系統只能通過用戶名和短信驗證碼的方式去登錄，但是由於我對這塊業務比較熟悉，或者對業務和業務標準之間的參數比較熟悉，那我會通過一系列的，我們可以把這個業務線改成，比如說用戶線改成商家的。登錄方式我們可以把短信密碼改成密碼的方式就可以了。

　　破解完之後，因為破解的是很容易的，所以存在這樣的問題，那麼像這塊漏洞我們怎麼防護呢，也是像剛才說的那樣，也就是說你發生篡改的時候，你的每一步操作有合法的簽名就可以了。

　　7.總結

　　最後我們做一個總結，好多公司或者不少的從業者，並不知道自己的系統是否安全。歸納為第一條就是安全的本質是否可控，為什麼這麼說?我們舉一個例子：好多公司發生漏洞的一些病毒性的內容。那我們可以考慮第一個是否安全，如果不安全沒問題，我們可以往下講，那麼數據泄露了多少?如果你的數據比如說全泄露了，那最後是否可控?比如說像你的數據庫是以什麼方式，還是說某一家技術公司追到的時候，用戶名密碼全被拖走了?這是這麼一個例子。

　　第二個就是站在業務的角度去思考?就是說安全這個東西，它和業務是有衝突的，比如說你做的這個體驗，可能會影響這個業務的用戶體驗，所以說有好多時候我們站在業務的角度去思考。

　　接下來我和大家分享三個小例子：第一個是生活服務檢測，好多人都知道數據庫和業務袋，這個是通過SQL對自己的業務做一個掃描，比如說我們可以挖掘用戶的掃描請求，或者拿到自己的然後通過批納出來就好了，這是關於掃描檢測的。

　　第二個是拖庫監控，有好多人數據被拖庫不知道，所以說我們可以通過這樣的一個小的技巧然後做一個監控，比如說我們可以在這個數據庫裏面建一個空表，正常情況下你的空表是沒有業務去瀏覽的，當一旦發現這個空表被別人讀取的時候，我們可以通過監控號或者其他的來進行監控。

　　第三塊是講數據庫加密存儲。可能現在在座的數據存儲的不多了，但是我們可以通過更好的一些方法做一些加密，比如說第一個加鹽法，那這種怎麼弄，我們可以通過加鹽加一下時間或者一些特殊的方式去做一個加密，像這種支付數據庫被偷掉也不會有什麼用。

　　第二個就是混淆法，混淆法是什麼?就是你的數據在存儲的時候，A用戶的密碼對應B的用戶，因為你的策略入侵者是不知道的，所以說這就會給他造成一個難度。

　　好，今天我的演講就到這裏，謝謝大家!

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨，RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置、套版網頁設計、台北網站改版設計、台北RWD響應式網頁設計，各種案例分享

廣告預算用在刀口上，網站設計公司幫您達到更多曝光效益

網站內容來源http://server.it168.com/

一份超級實用的勒索病毒應急手冊!含完整版下載

2019-03-18 20:17    原創 　作者: 安恆信息EDR團隊　編輯:
0購買

　　2017年以來，勒索病毒已發生三次全球範圍的爆發，持續不斷的更新變種，讓各行業機構與企業防不勝防。近期，勒索病毒卷土重來，從醫院到政府，目前已有多個部門和組織遭受病毒危害，業務系統癱瘓或遭受直接經濟損失。

　　變種勒索病毒突襲醫院

　　2019年3月以來，兩個變種勒索病毒“GandCrab V5.2”和“GlobeImposter3.0”頻頻出現。3月初“GlobeImposter3.0”襲擊多家醫療機構，將其文件加密並主要以動物名稱+4444的格式命名。

　　“GandCrab V5.2”和“GlobeImposter3.0”更傾向於通過爆破RDP服務弱口令擴散，而“GandCrab V5.2”的加密方式不同於“GlobeImposter”和“GandCrab”之前版本的分組密碼AES+RSA加密，改用流密碼Salsa20+RSA進行加密。

　　多地政府部門接連中招

　　境外黑客組織近期又向我國政府部門開展勒索病毒郵件攻擊。郵件主題為“你必須在3月11日下午3點向警察局報到!”，郵件附件名為“03-11-19.rar”。經分析，附件包含勒索病毒GandCrab V5.2，運行後效果與前幾個版本類似，加密后勒索信會提示安裝洋蔥瀏覽器(Tor Browser)，訪問付費鏈接，根據提示繳付贖金。我國部分政府部門郵箱已遭到攻擊，多地政府、高校等都已發布預警通報。

　　事實上，當遭到勒索病毒攻擊時，通過正確的應急處理措施可以有效避免更大範圍損失;提前採取合理的預案能夠保障系統免受勒索病毒影響。

　　安恆信息EDR產品團隊與公司服務、技術等部門，將大量應急響應經驗總結為《勒索病毒應急與響應手冊》。手冊中提供一系列緊急預案及實施措施，幫助中招用戶迅速開展自救，在專業人員到場處理前遏制影響範圍，盡可能降低損失。對於還未發現情況的用戶，手冊也提供給出一系列預防建議，防患於未然。

　　《勒索病毒應急與響應手冊》

         瀏覽下載地址：

　　我們按照病毒發現后的處理順序，給出具體方法和步驟，包括：判斷狀態、響應措施、具體處理方法等幾個部分。其中，應急處理的對象分為加密系統和未加密系統兩類，根據不同系統等級，建議分別處理。手冊中提供完整教程，用戶可參照自行完成處理措施，以確保在專業人員到場之前控制病毒影響範圍。對於已加密的系統給出5種處理方法，其中支付解密並不建議選擇。

　　關於不同業務系統的病毒防護，手冊提供6種具體方式：

　　第1節：通過優化系統本身的安全配置提升安全防護能力，包括策略配置與安全意識等;

　　第2、3節：針對網絡邊界和終端主機，不同對象採取不同措施;

　　第4節：如何通過專業的安全人員提供技術服務，增強系統安全性;

　　第5節：對於安全要求極高的工控系統，如何開展特殊安全防護措施;

　　第6節：病毒中招后的終極保障——勒索保險。

　　通過使用手冊，無論是在面對勒索病的事前、事中、事後都能選擇合理的措施來防治或應急響應，安恆信息希望這本手冊能夠幫助用戶提升系統免疫能力，避免因病毒突襲帶來的聲譽及經濟損失。

網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站，提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格，搶佔消費者視覺第一線

不管是台北網頁設計公司、台中網頁設計公司，全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦、台中網頁設計公司推薦專業設計師"嚨底家"!!