企业安全应急响应与渗透反击v0.04(程冲).pdf

企业安全应急响应与渗透反击 程 冲 2012年02月 1 前言  2011年6月份我入职某企业安全部门来，截至到目前为止（已知）发生了5次安全事件 。每一次都暴露出互联网企业在安全工作中普遍比较容易被忽略或者遗漏的威胁和弱 点。  近期我对这5次安全事件，将工作中包括应急响应、安全改进、渗透反击等内容进行了 归纳和小结。结合大量的第一手截图、日志、信息、思路形成这份“应急响应与渗透 反击”，和大家一起分享与交流。  PPT中涉及到个人隐私和非法等信息，请以技术探讨的角度去理解。 程 冲 chong.cheng@ 2 目录 •事件一：开源系统 •事件二：合作伙伴 •事件三：开发测试 •事件四：防不胜防 •事件五：遗忘角落 3 目录 事件一：开源系统 •事件二：合作伙伴 •事件三：开发测试 •事件四：防不胜防 •事件五：遗忘角落 4 开源团购  公司的团购业务应用，采用的是最土团购商用系统。官方有开源版下载！ 5 开源团购  某天突然被告知，一门户网站爆料公司团购分站被黑。附带插图如上，好一个FUN… 6 开源团购  网站沦陷原因：1）最土团购系统，上传页面未做任何验证和限制。直接可以被调用 7 开源团购 • 参考文档：/nginx-securit.html  网站沦陷原因：2）NGINX与FASTCGI配置不当，导致任意扩展名文件被作为脚本解析 8 开源团购  开源团购应急响应/渗透反击小结  应急方面：  1）入侵者根据已知安全弱点所进行的渗透测试行为；  2）从相关日志记录分析，渗透的深度与广度仅限于该服务器；  3）事后根据了解的信息，为两在校大学生所为；  改进方面：  1）公司网站应用后台管理规范的建设与整改；  2）对公司使用开源系统的梳理、版本/补丁升级；  3）对公司使用开源系统的安全黑盒/白盒检测； 9 目录 •事件一：开源系统 事件二：合作伙伴 •事件三：开发测试 •事件四：防不胜防 •事件五：遗忘角落 10 合作伙伴