今日頭條
官方微信
官方抖音
資訊頻道WebService是一種Web應用程序分支,其可以執行從簡單的請求到復雜商務處理的任何功能。一旦部署以后,其他WebService應用程序可以發現并調用它部署的服務。WebService技術, 能使得運行在不同機器上的不同應用無須借助附加的、專門的第三方軟件或硬件, 就可相互交換數據或集成。因此,眾多的分布式、模塊化應用程序和面向服務的應用集成都采用了WebService技術。
但WebService技術在為我們提供了開放性,跨平臺性便利的同時,也為用戶埋下了安全隱患。同時,當非法人員利用WebService在應用開發方面的漏洞成功入侵時,依靠傳統的安全防護手段收效甚微。啟明星辰FlowEye產品,是入侵分析領域的領軍產品,對發現此類入侵行為非常直觀、有效。下面以FlowEye在某用戶網絡中發現黑客利用WebService接口進行非法數據獲取的案例來告訴大家,重視WebService接口安全已經刻不容緩。
在2016年的3月7日,在該用戶網絡中部署的啟明星辰FlowEye系統中產生了一條告警事件,在寬闊的告警頁面,孤零零的一條告警信息分外惹人注意。告警信息顯示,來自新疆維吾爾自治區烏魯木齊市的某個IP(43.224.52.23)與內網的XX.XXX.XX.134這個IP的7013端口產生了非法訪問,流量達到3.394M。見圖1:
圖1
這條告警信息馬上引起了安全管理員的注意。安全管理員隨之對告警信息展開查看,發現在2016-3-7 10:09:19到10:10:25這個時間段內,遠在烏市的那個IP對內網這臺服務器共進行了4次訪問,見圖2:
圖2
管理員繼續查看每次訪問的具體細節,
第1次:
黑客調用了一個WebService方法,調用的方法為searchversionForPlat,鏈接是
http://XXX.XXX.XX.XXX:7013/handtask/services/DocsInfoService這個內部地址,請求的內容為:<request><token></token></request>,服務器最終返回訪問成功,并在返回的字符串中攜帶了下述下載鏈接:http://XXX.XXX.XX.235:7013/handtask/apk/zsyw66.apk,見圖3:
圖3
第2次:
黑客直接對
http:// XXX.XXX.XX.XXX:7013/handtask/apk/zsyw66.apk進行訪問,但被系統強制中斷了,見圖4
圖4
第3次:
顯然,黑客并沒有死心,繼續嘗試對http:// XXX.XXX.XX.XXX:7013/handtask/apk/zsyw66.apk進行訪問。這次訪問產生了3.454M的流量, APK被黑客下載成功。
第4次:
這次,黑客調用了另外一個方法,鏈接到了另外一個內部地址,系統返回訪問成功,同時,系統的返回內容中攜帶了一串加密信息,見圖5:
圖5
至此,管理員已經完全掌握了此次事件的內幕,我們將其完整還原一下:
該用戶為方便運維人員的日常辦公,開發了一套掌上APP,而XX.XXX.XX.134這個IP正是掌上APP系統的服務端。根據公司管理要求,能夠安裝掌上APP客戶端的終端必須要經過認證,然后才能安裝終端并進行掌上APP工作。然而由于某些原因,掌上APP客戶端獲取途徑的WebService接口出現了兩個,一個未經加密,一個經過了加密。此次黑客正是利用了未經加密的WebService接口,在未經APP服務端認證的情況下獲取了掌上APP客戶端的安裝包,同時利用已經加密的WebService接口返回的信息和未經加密的接口獲取的返回信息對比之后,獲得了加密接口的密鑰。
安全管理員通過此次FlowEye提供的告警信息,不僅發現了掌上APP系統存在的WebService應用接口漏洞,同時還發現了這套APP系統對客戶端的認證方面還存在安全漏洞。
結束語:
啟明星辰FlowEye系統,通過監控是否存在非法互聯,實時幫助用戶檢測是否存在非法入侵行為,幫助用戶快速定位內網被入侵的主機IP,并幫助用戶分析被入侵的具體過程,找出了業務系統的風險點。FlowEye是入侵分析領域的一款非常有效的安全產品。
北京市公安局海淀分局備案號:11010802023656號