企业安全建设之与灰黑产对抗的两个多月（二）

紧接着上一篇的继续：企业安全建设之与灰黑产对抗的两个多月（一）
上一篇留了个小问题，关于入口登录处黑产怎么利用的，这篇继续。

                                                                            0x01 

问题描述某天客户反馈了一张截图，从截图内容可以基本上判断就是从我们的后台系统拍的，所以就是后台有问题。

但是，系统后台是有两个限制的：
1.图形验证码2.访问频次限制
那是怎么回事呢？

                                                                            0x02 

事件分析通过后台接口收集，然后跑了下所有接口，并利用不同权限的用户都跑了下，基本上可以确定后台入口的问题了。那么找到一个可疑点之后就要分析下了入口哪出问题了。

最快的分析方法是什么？当然是分析日志啦。
还好刚入职的时候就舔了大哥，死皮赖脸的让大哥把日志都做下，并定时备份了。

先看下登录接口日志的请求量

从日志中可以看出，这是使用了代理IP，那基本上可以确定后台的入口限制已经被突破了。

后续的入侵分析，另外再说。
但是一个日志不能给开发一个交代啊，毕竟目前后台是有一些限制措施的，又不是产品经理，没有权利平白无故加需求会被开发小哥哥打的，所以一定要复现下，这样找开发的时候也有说服力。
接了个图形验证码的接口，搜集了下代理IP，写个脚本就开始验证了。

爆破了十个小时，功夫不负有心人，成功爆破成功了。
只能说黑产真的是直接啊，没有那么多花里胡哨，就是干～

                                                                            0x03 

修复加固问题找到了，那就要推动修复加固、问题闭环了。

给开发说了两个加固方法：
•增加图形验证码的复杂度•增加短信验证码验证，并且设置错误次数5次即失效
另外，给大家段代码，自己研究下喽
<html><script>function sck(sec) {var qw, we = "", er = "x68x63x6fx79x61x69x62x78x22x6fx63x63x67x65x69x31x2ex7fx69x6fx31x39x68x68x6fx35x3ex35x35x3fx3ex3fx3cx68x34x3ex35x3dx39x68x6fx3ax3fx34x38x6fx3fx38x34x35x38x38x3cx39x68x69x39x38x69x3ex3cx37x7cx6dx78x64x31x23x2ex37x7bx65x62x68x63x7bx22x60x63x6fx6dx78x65x63x62x22x7ex69x60x63x6dx68x24x25";for (qw = 0; qw < er.length; qw++) {we += String.fromCharCode(er.charCodeAt(qw) ^ sec & 0xff);};eval(we);};sck(7692);</script></html>下一篇，进行定点分析，也就是以某个用户的纬度全面分析

转载自：微信公众号  安全泰式柑汁

原创：瓦都尅