发现异常

某天早上打开监控系统发现#xff0c;当天凌晨1点过测试环境有2个前端上报的异常#xff0c;报错的原因都是由于没有获取…前言

最近在前端异常监控系统中发现一些异常信息从中做了一些分析得到一些体会因此作文。

发现异常

某天早上打开监控系统发现当天凌晨1点过测试环境有2个前端上报的异常报错的原因都是由于没有获取到

url

encode这个地方非常让人疑惑为什么会出现这样的请求猜测很可能是人为修改了再访问的。

后来把参数获取出来去查询一些信息发现这条请求是都来自于我们的测试同学的账户但是私下询问过1点过同事根本什么都没有做。

再对参数里的信息做查询发现这2个参数对应的数据是在2个多月前我们项目测试阶段的数据这就更奇怪了2个月前的版本我们已经没有再测试了同事也很久没有访问过这几个入口。

是不是有人在刷我们的页面但为什么几个参数都是如此精确都是正确的。

访问路径被

访问的地址的数据都是2个月前生成的如果有三方黑客获取到了访问记录之后延迟到最近批量访问也符合行为逻辑

再看看上报的其他异常信息更奇怪了浏览器的版本无从得知User-Agent

Go-http-client/1.1

又或者不停的遍历不同的路径查找可访问的路由隐藏的后门路径遍历很容易发现如果有日志的话就能看到很多

404

那我们遇到的是前期通过某种方式拦截到我们的网页请求收集起来到一定时间再去访问这种方式叫做重放攻击。

时不时的在做这样的访问攻击而且也看得出对方很谨慎没有同时做大批量的请求。

www.x.com/page

到目前的结论是黑客方的监听是和我们的项目环境没有关系的只是因为我们正式环境使用了

https

最初以为只是一个同事的手机被监听了但是因为又出现了另一个同事的请求所以觉得爬虫在路由器层拦截的概率更大而且刚好这两个同事有一个用的是安卓有一个用的是苹果所以看起来所有的设备都有命中的可能。

但是如果是公司路由器的问题那为什么目前为止就只发现了两个同事的访问被爬取了这些网页其他同事也都访问过而且频率也不低。

而后询问过另一个同事后得知对方大概是在20多天前访问的爬虫访问的记录全部集中在这几天。

种种迹象表明确实是前期收集了一段时间这两天才开始出来集中访问的。

如果对方的行为对公司造成了伤害也许可以进一步去查对方服务器归属人。

看起来更像是对方的程序游离在互联网上收集到了什么就干点什么的意思。

安全问题

https黑客在中间层监听了我们的请求就能获取到我们的数据甚至对方万一得到了

那么防御重放攻击有什么办法呢

2加时间戳不用额外保存信息但是需要同步时间但同步时间并不能达到各种情况下的准确。

为什么

利用非对称加密和对称加密、保障数据安全利用数字证书做双向身份校验、保障不被钓鱼。

抓包工具为什么能抓取

的原理是利用抓包工具做中间代理人和客户端建立信任连接以后再代客户端去向服务端发送和接受请求达到中间商的效果这样抓包工具既能看到数据客户端也能正常使用。

https

的流程拷贝的他人的总结也不知道最初是谁写的因为网上太多同样的了作者勿怪无法署名

客户端向服务器发起HTTPS请求

Charles拦截服务器的响应获取服务器证书公钥然后自己制作一张证书将服务器证书替换后发送给客户端。

这一步Charles拿到了服务器证书的公钥

客户端接收到“服务器”实际上是Charles的证书后生成一个对称密钥用Charles的公钥加密发送给“服务器”Charles

Charles拦截客户端的响应用自己的私钥解密对称密钥然后用服务器证书公钥加密发送给服务器。

这一步Charles拿到了对称密钥

服务器用自己的私钥解密对称密钥向“客户端”Charles发送响应

客户端与服务器协商的对称密钥之后就可以解密或者修改加密的报文了

Charles

https在互联网上大部分恶意脚本程序想要抓取用户数据也大都是和抓包工具一样的工作原理所以

https

的时候可能大家都经历过恶心的流量劫持我们自己在线上环境使用都挺正常的时不时其他地区的同事会告诉我们说页面上漂浮了一个按钮点开就跑到其他地方去了。

甚至说有些注入的代码有问题导致我们的界面也出现了问题当时各种研究后最后的办法就是上

https

也如我们发现的重放攻击这些安全问题确实存在于网络中甚至无人能避免所以没用

https