【案例概述】

案例關鍵字：網站廣告外部網站JS文件

網站訪問大部分是外部向內部網絡的訪問行為，因此往往大部分網站維護人員都將重心放在外部向內部的訪問控制和安全防護上，往往會忽視內部網絡到外部網絡的行為，小L就處理過訪問網站彈出廣告的問題，原來是網站某個功能模塊調用外部網站JS文件導致的，修改該功能模塊后恢復。

【案例還原】

小L是某醫院的網站維護人員，某天上午09:00，小L接到部分用戶反映訪問醫院A官網，會彈出其他網站的廣告。小L心想，難道自己的網絡被外部篡改或者植入惡意程序了？

（1）控制范圍

小L確認問題后，09:05分將官網切換到維護狀態，防止該問題繼續擴散。

（2）定位問題

小L對官網后臺日志進行分析，分析后未發現異常；再對防火墻、IPS等設備進行日志分析，亦未發現異常；無法通過日志分析定位問題。小L就納悶了，怎么就被植入廣告了呢？

于是，小L聯系軟件開發商和網絡提供商協助排查。

據以往經驗，需還原問題發生的場景，通過對問題行為進行分析來定位問題原因。經信息科領導同意，利用軟件開發商和網絡提供商到達現場的1小時空隙，小L搭建封閉環境進行測試。

小L對服務器的行為進行分析，10:30經對服務器數據包進行分析，發現每次訪問官網，服務器都會訪問一個網址，根據對該網址的追蹤，發現是一個網站流量統計的網站。

小L將發現問題反饋給軟件開發商，作進一步跟蹤。經軟件開發商排查，問題由官網上一個網站流量統計功能模塊調用外部網站JS文件，外部網站更改該JS文件所致。

（3）問題初步解決

軟件開發商針對該問題對相應功能模塊進行修改，經測試通過后、發布新版本，對官網進行更新。

正式環境測試、檢查確認沒有問題后，開放官網的訪問服務，官網業務恢復正常訪問。

（4）滲透性測試

小L還是覺得官網存在問題，于是叫安全服務商對官網進行滲透測試，以提早發現網站存在問題，及早修復避免下次狀況發生。

滲透測試團隊在登錄接口中，輸入帳號密碼后，攔截數據報，發現存在缺陷，導致網站存暴力破解；從數據包可看到，密碼處于明文狀態。

點擊修改個人信息，在微信號欄中插入惡意的腳本語句：<imgsrc=x onerror=alert(1)>，點擊確認；查看返回數據包。惡意的代碼就執行，存跨站腳本攻擊風險。

測試網站是否對輸入輸出進行過濾，未發現SQL注入漏洞檢測。

測試網站身份認證功能，測試工作包括缺省的或可猜測的（字典攻擊）用戶賬戶測試、驗證旁路迂回測試、注銷管理和瀏覽器緩存管理、弱密碼測試等。網站根據Cookie來判斷用戶的權限，無法通過修改ID進行越權操作，未發現越權風險。

測試網站是否已對上傳功能點作文件后綴和內容檢測相關防護，未發現校驗控制措施問題，攻擊者無法進行任意文件上傳，無法通過上傳漏洞上傳木馬文檔。

測試網站是否能通過路徑遍歷下載到服務器任意系統文件，未發現缺陷。

通過工具及手工挖掘，未發現系統存在敏感信息泄露的漏洞。

通過收集信息，判斷使用了哪些第三方或開源工具、軟件、中間件、開發包等，再判斷是否已打上補丁，防范如Java反序列化漏洞、openssl心臟滴血漏洞等已公開的漏洞。

（5）修復加固

登錄功能添加圖形驗證碼。

對所有用戶輸入數據進行數據驗證，從數據中剔除危險字符<> " ' : # $ { # }+等。

對所有輸出數據進行適當的編碼，以防止任何已成功注入的腳本在瀏覽器端運行。

【案例總結】

1. 信息網絡安全不僅要檢測外部網絡到內部網絡的行為，也應監控內部網絡到外部網絡的行為。服務器需接入上網行為管理，及時發現服務器發起的異常鏈接。

   
   

2. 完善應急預案。本次異常問題處理，由于沒有完整的測試環境，需臨時搭建，浪費了一定時間，如有完整的測試環境，可減少異常排查時間。

   
   

3. 項目或系統驗收通過后，在應用維護階段新增的小功能模塊可能存在漏洞，應定期對系統進行安全測評。軟件開發商交付的功能模塊，應通過安全測試，必要時可聘請專業安全測評機構進行檢測。

   
   

4. 使用HTTPS協議傳輸相關敏感信息，同時在Cookie中加入secure、only等參數，認證時加入token參數，能保證認證信息與Cookie安全。如無法實施HTTPS，可在傳輸過程中使用相關加密算法對密碼進行加密處理，能提高攻擊者破解的難度而不影響用戶的正常使用。

   
   

5. 對其它個人信息可使用*號進行部分替換，僅顯示部分，提高系統隱私保護性和安全性。

本文選自《醫院信息系統典型故障案例解析》

主    編  傅昊陽

副主編  馬麗明  賀嘉嘉  高峰

點擊以下圖片可直接購買：《醫院信息系統典型故障案例解析》