今日頭條
官方微信
官方抖音
資訊頻道WebService是一種Web應(yīng)用程序分支,其可以執(zhí)行從簡單的請求到復(fù)雜商務(wù)處理的任何功能。一旦部署以后,其他WebService應(yīng)用程序可以發(fā)現(xiàn)并調(diào)用它部署的服務(wù)。WebService技術(shù), 能使得運(yùn)行在不同機(jī)器上的不同應(yīng)用無須借助附加的、專門的第三方軟件或硬件, 就可相互交換數(shù)據(jù)或集成。因此,眾多的分布式、模塊化應(yīng)用程序和面向服務(wù)的應(yīng)用集成都采用了WebService技術(shù)。
但WebService技術(shù)在為我們提供了開放性,跨平臺性便利的同時(shí),也為用戶埋下了安全隱患。同時(shí),當(dāng)非法人員利用WebService在應(yīng)用開發(fā)方面的漏洞成功入侵時(shí),依靠傳統(tǒng)的安全防護(hù)手段收效甚微。啟明星辰FlowEye產(chǎn)品,是入侵分析領(lǐng)域的領(lǐng)軍產(chǎn)品,對發(fā)現(xiàn)此類入侵行為非常直觀、有效。下面以FlowEye在某用戶網(wǎng)絡(luò)中發(fā)現(xiàn)黑客利用WebService接口進(jìn)行非法數(shù)據(jù)獲取的案例來告訴大家,重視WebService接口安全已經(jīng)刻不容緩。
在2016年的3月7日,在該用戶網(wǎng)絡(luò)中部署的啟明星辰FlowEye系統(tǒng)中產(chǎn)生了一條告警事件,在寬闊的告警頁面,孤零零的一條告警信息分外惹人注意。告警信息顯示,來自新疆維吾爾自治區(qū)烏魯木齊市的某個(gè)IP(43.224.52.23)與內(nèi)網(wǎng)的XX.XXX.XX.134這個(gè)IP的7013端口產(chǎn)生了非法訪問,流量達(dá)到3.394M。見圖1:
用漏洞6061458699901100079.png "FlowEye入侵分析之WebService應(yīng)用漏洞6061458699901100079.png")
圖1
這條告警信息馬上引起了安全管理員的注意。安全管理員隨之對告警信息展開查看,發(fā)現(xiàn)在2016-3-7 10:09:19到10:10:25這個(gè)時(shí)間段內(nèi),遠(yuǎn)在烏市的那個(gè)IP對內(nèi)網(wǎng)這臺服務(wù)器共進(jìn)行了4次訪問,見圖2:
用漏洞7151458699907677621.png "FlowEye入侵分析之WebService應(yīng)用漏洞7151458699907677621.png")
圖2
管理員繼續(xù)查看每次訪問的具體細(xì)節(jié),
第1次:
黑客調(diào)用了一個(gè)WebService方法,調(diào)用的方法為searchversionForPlat,鏈接是
http://XXX.XXX.XX.XXX:7013/handtask/services/DocsInfoService這個(gè)內(nèi)部地址,請求的內(nèi)容為:<request><token></token></request>,服務(wù)器最終返回訪問成功,并在返回的字符串中攜帶了下述下載鏈接:http://XXX.XXX.XX.235:7013/handtask/apk/zsyw66.apk,見圖3:
用漏洞11371458699915119985.png "FlowEye入侵分析之WebService應(yīng)用漏洞11371458699915119985.png")
圖3
第2次:
黑客直接對
http:// XXX.XXX.XX.XXX:7013/handtask/apk/zsyw66.apk進(jìn)行訪問,但被系統(tǒng)強(qiáng)制中斷了,見圖4
用漏洞12381458699922116895.png "FlowEye入侵分析之WebService應(yīng)用漏洞12381458699922116895.png")
圖4
第3次:
顯然,黑客并沒有死心,繼續(xù)嘗試對http:// XXX.XXX.XX.XXX:7013/handtask/apk/zsyw66.apk進(jìn)行訪問。這次訪問產(chǎn)生了3.454M的流量, APK被黑客下載成功。
第4次:
這次,黑客調(diào)用了另外一個(gè)方法,鏈接到了另外一個(gè)內(nèi)部地址,系統(tǒng)返回訪問成功,同時(shí),系統(tǒng)的返回內(nèi)容中攜帶了一串加密信息,見圖5:
用漏洞14341458699928833439.png "FlowEye入侵分析之WebService應(yīng)用漏洞14341458699928833439.png")
圖5
至此,管理員已經(jīng)完全掌握了此次事件的內(nèi)幕,我們將其完整還原一下:
該用戶為方便運(yùn)維人員的日常辦公,開發(fā)了一套掌上APP,而XX.XXX.XX.134這個(gè)IP正是掌上APP系統(tǒng)的服務(wù)端。根據(jù)公司管理要求,能夠安裝掌上APP客戶端的終端必須要經(jīng)過認(rèn)證,然后才能安裝終端并進(jìn)行掌上APP工作。然而由于某些原因,掌上APP客戶端獲取途徑的WebService接口出現(xiàn)了兩個(gè),一個(gè)未經(jīng)加密,一個(gè)經(jīng)過了加密。此次黑客正是利用了未經(jīng)加密的WebService接口,在未經(jīng)APP服務(wù)端認(rèn)證的情況下獲取了掌上APP客戶端的安裝包,同時(shí)利用已經(jīng)加密的WebService接口返回的信息和未經(jīng)加密的接口獲取的返回信息對比之后,獲得了加密接口的密鑰。
安全管理員通過此次FlowEye提供的告警信息,不僅發(fā)現(xiàn)了掌上APP系統(tǒng)存在的WebService應(yīng)用接口漏洞,同時(shí)還發(fā)現(xiàn)了這套APP系統(tǒng)對客戶端的認(rèn)證方面還存在安全漏洞。
結(jié)束語:
啟明星辰FlowEye系統(tǒng),通過監(jiān)控是否存在非法互聯(lián),實(shí)時(shí)幫助用戶檢測是否存在非法入侵行為,幫助用戶快速定位內(nèi)網(wǎng)被入侵的主機(jī)IP,并幫助用戶分析被入侵的具體過程,找出了業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)點(diǎn)。FlowEye是入侵分析領(lǐng)域的一款非常有效的安全產(chǎn)品。
北京市公安局海淀分局備案號:11010802023656號