【匠心服务】突然一天晚上,一个防火墙已经上架3个月客户突...
  

BZ 1996

{{ttag.title}}
突然一天晚上,一个防火墙已经上架3个月客户突然发来一个截图,说网页被篡改了,而且查不到日志。整个人立刻一哆嗦,不会吧,难道上次配策略的时候没有开阻断?web防护策略没有没有把这个服务器进行保护?不行,还是先安抚客户,问客户要远程方式,登到被篡改的页面和我们防火墙看一看,的确在防火墙还真是没有查到关于篡改和入侵的日志,再登录他的主页,发现很正常,再看看他有问题页面的url,发现URL都有这样的共性:/e/space/UserInfo.php?userid=3740,从3740以后的页面都是被篡改了,这是什么情况。
最后查查这个网站具体信息得出:网站使用的是 EmpireCMS 二次开发的,URL 看起来应该是一个显示已注册用户信息的地方,推断可能是由于客户二次开发的时候未删除注册模块,被恶意攻击者借用来实施篡改。再问问北研大神,研发听到后立刻就知道这是一个已经发现的问题,原来这是软件的漏洞,黑产组织利用软件的注册模块漏洞大量注册个人账号页面,并在上面发不良信息(防火墙检测到个人正常的注册信息所以不进行拦截,在这里推荐一波信服云眼与信服云盾可以进行网站扫描,有了异动会有专家7*24小时值守提醒,避免网页篡改)。
这时候和客户讲解了这个结果,并建议他关闭网站,找软件开发商进行修复,客户表示很感谢,这次工作总是结束了,送了一大口气。
下面来一波漏洞介绍:EmpireCMS 作为比较靠前的内容管理系统,导致很多大型的企业学校都对它进行二次开发,但是在用户模块未关闭或审核未开启的时候存在逻辑缺陷漏洞,由于验证机制不足,导致绕过第一步后直接批量的注册并且上传暗链,这算是黑产刷 SEO 的新方式,其目的是优化自己网站中的一些关键字在搜索引擎中的排名,或是提高自己网站的搜索引擎权重,影响范围很广。从EmpireCMS 6.0-7.2版本都会有这个问题。。
建议 EmpireCMS 修补方案如下:
1.增加 referer 验证(最简单方法,但是容易绕过)
2.设计一个单点登录,生成一个 token,放到 cookie 里。
3.服务端设置 session 记录当前到哪一步。
4.可以设置第一步成功之后得到某个值,第二步需要这个值才能操作。
二次开发的企业临时解决方案:
1.关闭会员模块
2.如果需要会员模块,请开启审核注册

PS:图片分别为被黑产注册的用户页面与EmpireCMS7.2的如何修复界面

微信图片_20171217182844.png (201.39 KB, 下载次数: 119)

微信图片_20171217182844.png

TIM截图20171217184254.png (89.69 KB, 下载次数: 120)

TIM截图20171217184254.png

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

maoxs 发表于 2017-12-17 21:20
  
学习了,给你点赞
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
技术晨报
安装部署配置
排障笔记本
自助服务平台操作指引
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

461
247
13

发帖

粉丝

关注

本版达人

feeling

本周分享达人

新手29676...

本周提问达人