Атаковать веб-сайты, не оставляя контрольного следа
https://stackoverflow.com/questions/938978
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Недавно Aetna подверглась взлому где он потерял 65 000 SSN.Им так и не удалось найти контрольный журнал того, что произошло, что, вероятно, намекает на то, что атака использовала XSS или подобную технику.
Существуют ли конкретные известные атаки, которые злоумышленники неоднократно используют для атак такого типа?
Решение
Есть распространенные ошибки, которые люди совершают, и существуют общие платформы, которые люди используют.Каждый из них, если его оставить без исправлений, позволит кому-то взломать систему с помощью простого сценария.
Но если кто-то преследовал что-то конкретное, в данном случае номера социального страхования, которые имеют большое значение в организованных преступных группировках, я бы ожидал, что кто-то потратит немного больше времени на выяснение того, как работает сайт, и применит специальный эксплойт для захвата данных. данные.
Я тоже не понимаю, почему это должен быть XSS.Если бы их системы не отправляли журналы доступа за пределы сервера или даже не регистрировали каждую точку входа, существует множество способов, которыми кто-то мог бы воспользоваться уязвимым сервером и впоследствии очистить его.
Другие советы
На данный момент совершенно не ясно, был ли это технический сбой, и, учитывая неубедительность судебно-медицинской экспертизы, мне кажется гораздо более вероятным, что это был человеческий сбой, будь то социальная инженерия, данные, оставленные на сиденье поезда, или недовольный сотрудник .
AFAIK, единственный способ по-настоящему оставить нулевой контрольный след — это не писать аудит.Регистрация только HTTP-трафика всегда даст вам некоторый доказательства атаки на основе HTTP.
Я видел результаты некоторых автоматических атак, и одно из первых действий, которые они делают, — это отключение ведения журналов и удаление всех журналов.
Вот почему обычно меняют места регистрации на нестандартный путь — это ничего не сделает против решительного злоумышленника, но даст вам больше информации в случае автоматической атаки.
Отсутствие аудиторского следа неудивительно, если не сказать больше.Немногие компании ведут значимые аудиторские журналы.Конечно, часто бывают гигабайты и гигабайты журналов, но кто через все это проходит?Большинство ИТ-центров просто сбросят его, когда он достаточно устареет, поэтому вполне возможно, что это нарушение произошло некоторое время назад, и они уже сбросили журналы, поскольку из статьи видно, что они не знали о возможном взломе до тех пор, пока не пришло спам-сообщение. начал заходить.
Я бы заподозрил плохую ИТ-инфраструктуру, а не какую-то хитрую атаку, которая привела к отсутствию контрольного журнала.
