攻击网站不留审计跟踪
https://stackoverflow.com/questions/938978
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian题
最近 Aetna遭到违反 在那里失去了65,000个社会安全网.他们从来没有能够找到一个审计追踪的发生什么事了这可能暗示袭击杠杆作用的XSS或类似技术。
是否有具体的知的攻击,坏人都反复利用这种类型的攻击?
解决方案
有常见的错误,人们作出,并有一些人使用的通用平台。每个,如果左打补丁将允许某人在使用一个简单的脚本断裂。
但是,如果有人在某事之后会具体地讲,在这种情况下,社会安全号码,即在有组织的犯罪团伙价值高,我本来期望有人花一点时间搞清楚该网站是如何运作和应用定制开发来获取数据。
我不明白为什么它必须是XSS无论是。如果他们的系统没有发出访问日志关闭服务器,甚至每一个记录入口点,有多种方法的人可以利用一个可利用的服务器,然后再清理。
其他提示
这不是在这一点上都清楚,这是一个技术故障,并给出了定论取证似乎更容易,我认为这是一个人的失败,无论是社会engineeering,留在火车上的座位数据,或不满的雇员。
据我所知,真正离开零审计线索的唯一途径是向尚未写入审计。单独记录HTTP流量将永远给你的一些的基于HTTP攻击的证据。
我见过的一些自动攻击的结果,他们做的第一件事是禁用记录,并删除所有日志。
这就是为什么它是常见的变更记录到非标准路径位置 - 它不会做任何事情,对一个坚定的攻击者,但它会给你在自动攻击的情况下,更多的信息
在缺乏的审计跟踪的是不足为奇的,至少可以说。没有多少公司有保留意义的审计线索。当然,还有的经常技嘉和日志的千兆字节,但谁经历了这一切?大多数IT放置只想放弃它,一旦它的年龄不够,所以它完全有可能的,这违反发生前一段时间,他们已经倾倒的日志,因为从文章看起来他们不知道可能违反直到垃圾邮件开始来英寸
我怀疑可怜它,而不是一些聪明的攻击导致缺乏审计线索。
