序文
最近の異常なフロントエンド監視システムでは、我々はいくつかの経験を取得し、いくつかの分析を行うには、そこからいくつかの異常な情報を発見し、そのための書き込み。
異常な
オープン監視システムは、ある朝、一日1時00分には2つのフロントエンドのテスト環境に異常が報告されており、エラーの原因が得られないことが原因で見つかったURLなど通常のアドレスなどのパラメータを、あるべきwww.xx.com?a B = 2.1&=、実際にアクセスされるwww.xx.com 3FA %%% 3D2 3D1%で26bと。もちろんパスエンコードプログラムでは結果は、引数を取得できませんでした。
アクセスパス2異常が同じではなく、以上の2つのアドレス デコード別の訪問の後、すべてのパラメータが正しいか、正しくページを開くことができます。これらのアクセスURLは、私たちがジャンプを行う際に、玄関の構成は、私たちの論理はしないさエンコードは、この場所は非常に、なぜ、そのような要求がある、不可解され、投機は、人為的にアクセス長く変更される可能性が高いです。情報の一部を照会するために、抜け出すために、後のパラメータは、この要求に見つかった生徒のテストアカウントから来ているが、個人的に尋ねた、1:00の同僚は全く何もしませんでした。また、状況にアクセスするために彼の携帯電話を使用して他の人を除外。そして、情報にクエリパラメータを行い、我々は再びテストしていないバージョン2ヶ月前に2ヶ月以上前のデータを、対応するこれら2つのパラメータは、我々は、より多くの奇妙なデータのテストフェーズを投写ことがわかりました、長い時間のための同僚は、いくつかの入り口にそれを訪問していません。これは、ブラシの誰か私達のページではありませんが、なぜいくつかのパラメータは、正確で正しいです。
他の人のアクセスがなければなりません。すべての側面は非常に珍しい見える理由は次のとおりです。
1. 1時だったアクセス
2.アクセスパスはエンコード
3.データは、私の同僚のテストで、彼は訪れていません。
記録へのアクセスを取得するには、3つの政党がある場合4.アクセスアドレスデータは最新のバッチに遅れアクセスもロジックの動作と一致し、ハッカーの後、2ヶ月前に生成されます
もっと奇妙で報告された他の異常な情報を見ては、ブラウザのバージョンが知られていない、ユーザーエージェントのみゴークライアントHTTP / 1.1、リクエストをしている爬虫類のスクリプトのように見える方法について説明します。爬虫類といえば、爬虫類は、一般的に他の情報を取得するためにデータインタフェースを引っ張るために知られているであろう、あるいは、トラバース異なる経路を停止アクセス経路(隠されたバックドア)を見つけ、パストラバーサルは、見つけるのは簡単ですある場合、ログは、あなたは多くの見ることができる404、いくつかの奇妙なパスへのアクセス数が多いです。:その後、我々遭遇したが呼び出されます。このように訪問行くために一定の時間まで収集するために、当社のウェブページリクエストに早く何らかの方法で傍受されたリプレイ攻撃。
私たちは、クエリサーバーと IPの 番号やその他の関連情報は、そこにいくつかあることがわかったIPは大きくないバッチ要求しながら、このようなアクセス攻撃を行う際に随時、だけでなく、お互いに非常に慎重に参照してください。彼らは、最初のように、より多くの異常な行動を発見したwww.x.com/pageのそれが使用する、ページ・パスポストを再度要求する方法を。
すべての異常なデータパスは、アドレステスト環境を使用アクセスされているHTTPを、そして私たちの環境公用HTTPSは、他の当事者を取得する機能はしていないようですHTTPSを要求。これらの照会することにより、IPを 正式な環境の訪問で、またレコードを見つけましたが、ちょうどこのレコードは対応していない訪問(HTTPSを時々 、私たち自身の発展は、手動でのアクセスにhttpをhttpsに変更する可能性があるため)。現在のリスニングハッカーパーティーと私たちのプロジェクトは、我々正式環境の用途と同様に、環境に関連していないという結論にhttpsのは彼が取得できませんでした。
当初、私はそれが、唯一の同僚の電話は聞いていたが、以降は他の同僚のリクエストを浮上していると思ったので、ルータ層の傍受で爬虫類、そして2人の同僚の大きい確率はAで、アンドリュースのちょうど使用を持っていることAppleはすべてのデバイスが打つ可能性があるため、それが見えますので、です。しかし、問題は、なぜ今のところ唯一の2人の同僚がクロールされた訪問いますコーポレート・ルータは、であり、これらのページは、他の同僚を訪問しており、周波数が低くない場合。傍受、私はビット無力だ、特にあなたの戦略は、どのようなものです。その後、別の同僚に尋ねた後、他のは、おそらく20日以上前に訪問することを、すべてのこれらの日に集中したレコードのアクセスを爬虫類。確かにプレコレクションをしばらくの兆候がありますが、これら二つの天才は、集中アクセスから始めます。
フロント照会することにより、IPを、サーバは、爬虫類が国で見つかっているが、他の当事者は本当隠すことがIPを。人の行動が会社を傷つける場合は、さらに、他のサーバーを持っている人を調査することができるかもしれません。しかし、他の側の訪問や手順からの攻撃ので、それはほとんど私たちを傷つけることはありませんでした。でも、他のが私たちを攻撃するように指示されていない感じ。それは何かをすることの意味を収集するために、より多くのインターネット上の他のフリープログラムのように見えます。
セキュリティ上の問題
私たちはしばしば訪問し、セキュリティ上の問題についての話に来て、URLなどのように、いくつかのパラメータ、持参、時間をアプリをの埋め込まれたいくつかの、H5、H5のパラメータは、いくつかの識別持参する必要トークンを。我々は、我々が使用していないと言うならHTTPSを、私たちの要求に耳を傾ける中間層のハッカーが、我々はデータを取得することができます場合でも、他の当事者がされている、トークン、我々はより多くのプライバシー情報を得ることができます。これは、リプレイ攻撃のセキュリティの脆弱性を提供します。
そして、防衛リプレイ攻撃は、私たちは何ができるのでしょうか?一般に使用される2つの方法があります。
(1)保護プラス乱数は一度だけ使用されるが、使用履歴値を格納するために追加のスペースを必要としています。
(2)は、タイムスタンプを追加し、追加の情報が保存されていないが、時刻を同期する必要がありますが、それぞれの場合の正確な同期時間を達成することはできませんされています。故障かどうかを判断するために必要とされる方向についての短い引数で。
なぜHTTPS保証安全
多くのオンラインの記事はここにすべてを説明していない、と単純に二つのこと、言うHTTPSを、データのセキュリティを確保するために、非対称暗号化と対称暗号化を使用して、双方向の身元確認を行うために、デジタル証明書を使用し、保証は釣りではありません。
なぜキャプチャツールがクロールできます。https
以前から知られているパケットキャプチャツールは、特定の設定によってクロールできるようになりますHTTPS私がいること、考えたので、要求のhttpsは、パケットキャプチャツールを傍受することができ、安全なああではないではありません。まず、我々はさらなる分析を行うためには、まずそれがどのように動作するかを理解する必要があります。
パケットキャプチャツールのクロールhttpsの原則は何をするパケットキャプチャツールを使用することで、中間物質を、そしてクライアントが送信するために、クライアントの接続先サーバーに代わって、再び、後で信頼された接続を確立し、仲買人の効果に、要求を受信するために、両方のパケットキャプチャツールので、データを参照して、クライアントが正常に使用することができます。
以下は、パケットキャプチャツールのクロールでHTTPSプロセス(要約コピーその他、もともと誰が書いたかわからないので、同じオンライン作家の、あまりにも多くのWuguai、署名されていません)
-
クライアントがサーバに要求HTTPSを送信します
-
クライアントの要求インターセプトチャールズ、サーバーへのクライアント要求を装っ
-
サーバーは、「クライアント」(実際にはチャールズ)CA証明書にサーバーを返します。
-
サーバーの応答インターセプトチャールズは、サーバ証明書の公開鍵を取得し、サーバー証明書を交換した後、独自のAの証明書はクライアントに送信します。(このステップは、チャールズは、サーバの公開鍵証明書を得ました)
-
「サーバ」(実際にはチャールズ)証明書を受信した後、「サーバ」(チャールズ)にパブリックチャールズ送信で暗号化された対称鍵を生成します
-
チャールズは、公開鍵暗号と対称鍵とサーバ証明書を解読するために彼の秘密鍵で、レスポンスのクライアントを傍受し、サーバーに送信されます。(このステップは、チャールズは、対称鍵を得ました)
-
対称鍵を復号化するために、自身の秘密鍵を使用してサーバーは、「クライアント」(チャールズ)への応答を送信します
-
チャールズは、クライアントに独自の証明書を交換した後、サーバの応答を傍受しました
-
この時点で、クライアントとサーバとの公開協議は、接続が確立され、チャールズは、あなたが暗号化されたメッセージを復号化または変更することができ、サーバ証明書、対称鍵を得ました
そのため、信託へのクライアントのニーズことを提供し、インストールすることを選択したチャールズを傍受することはできませんキャプチャツールをパケットものと証明書をHTTPS、最も悪質なスクリプトは、あなたがインターネット上でグラブユーザーデータにしたい、ともほとんど同じパケットキャプチャツールの作品したがって、HTTPSは、まだ比較的安全です。
httpsを使用しませんか?
会社が使用することを覚えていないのhttpsを私たちは経験豊富な吐き気や交通ハイジャックを有することができるとき、通常のすべての種類を使用して私たち自身のオンライン環境、およびその他の地域における時間までの時間から私の同僚が開くように、ポイントをページ上のボタンを浮かべている私たちに語りました私は行くために他の場所に行ってきました。一部では、私たちのインターフェイスにつながることも問題である、その後、様々な研究の後、最後の方法は、上ではなく、挿入されたコードの問題と言うHTTPS、 そして今、もはやこの問題を心配する必要は。今、一部のブラウザがアクセス非HTTPSページには、通常、他の人のサイトのいくつかは、まだ役に立たないを参照してください、危険な要求されますHTTPS、警告に報告します。我々はまた、発見したようリプレイ攻撃を、これらのセキュリティの問題は、誰もが、そう無用避けることはできないのでことを、ネットワーク内に存在する操作を行います。httpsのサイトを、またはすぐにそれをアップグレード!