近年来数据泄露安全事件频发,在今年的hw网络安全攻防演练中,获取敏感信息、数据泄露等漏洞的得分也越来越高。在实际工作的工作中我们也遇到了一次数据泄露情况,下面就来看看当遇到这种情况时如何进行排查。
数据泄露的可能途径
1.外部攻击和黑客活动
如果系统存在漏洞,黑客发现并成功利用这个漏洞,则可能会导致数据的泄露。如sql注入,命令执行漏洞等等。
另外还有接口中返回了敏感信息,导致数据泄露。
2.内部人员泄露
这里包含两个方面,一个是由于员工的疏忽,不当操作或缺乏安全意识导致的不是故意的泄露。如电子邮件发给了错误的收件人。
另一个就是内部员工故意泄露的,如通过售卖公司信息获利。
3.系统漏洞和配置错误
未及时更新或配置不当的系统和软件可能存在安全漏洞,攻击者可利用这些漏洞访问和窃取数据。错误的网络配置或安全设置也可能导致数据泄露,如不安全的文件共享设置或未加密的通信通道。
4.第三方服务或合作伙伴
与第三方合作伙伴共享数据时,未采取足够的安全措施,遭到攻击或违反合同规定,未经授权地访问,都可能导致数据泄露。
5.物理安全漏洞
丢失或被盗的存储设备(如笔记本电脑、手机、USB闪存盘等)可能包含敏感数据及不安全的文件处理(如随意丢弃包含敏感信息的纸质文件)也可能导致数据泄露。
数据泄露排查办法:
1. 首先要看下数据泄露的数据特征,判断数据可能来自哪个应用系统(APP、网站、系统)。
2. 然后对重点怀疑数据可能泄露的应用系统,画出业务关系拓扑图。
3. 根据业务拓扑图,对所涉及的应用系统(APP、网站、系统),开展渗透测试(H5/api/PC),检测是否存在漏洞,而这个漏洞是否可导致数据泄露。
4. 对所有的应用系统的访问日志进行安全审计与人工排查,是否有可疑的请求与访问,有些接口可能存在数据泄露,在实际排查过程中,有些黑客会使用python等工具进行批量爬取数据的特征,检查是否有python等的浏览器标识日志,以及某个IP的访问频次。
5. 对(APP、网站、系统)访问权限进行梳理确认,看是否存在越权访问等漏洞。
6. 排查WAF/阿里云盾/腾讯云安全等的安全告警日志,检查是否有被黑客入侵和攻击的痕迹,像提示有Webshell木马后门文件,服务器异地登录,bash后门,服务器后门,异常进程,等等的安全提醒都要注意查看,一般来说服务器都可能被黑客入侵了。
一次数据泄露排查
事件起因:一次在咸鱼上看到有人在卖我们公司的验证码,可以通过验证码注册公司账号。当发现该问题以后,我们开始排查该验证码的泄露途径。
排查过程
1)首先分析验证码可能得泄露途径
-
外部接口中返回包中包含了验证码
-
内部人员泄露
-
存在漏洞,恶意攻击者进入了内部
2)排查是否通过外部接口泄露
我们通过waf,以及人工去测试相关功能点都没有发现相应的系统存在。
3)排查相关日志
排查相关数据库,系统的日志看是否有异常访问
4)修改数据库数据排查
上面的几个步骤都没有发现泄露的问题点在哪里,最后决定修改数据库中的数据,看泄露的点在哪里。
首先,画出了验证码的数据流图,统计除了验证码在那几个数据库以及系统中存在,然后手工修改库里面的内容,在咸鱼上联系人看是否能够给出正确答案。通过该方式最终确定了泄露点在哪里,然后再去排查相关系统的日志,最终也找到了泄露的原因。
总结
数据泄露的方式多种多样,要根据实际的情况进行分析以及指定恰当的方式去排查。
参考链接
https://cloud.tencent.com/developer/article/2326322
原文始发于微信公众号(信安路漫漫):一次数据泄露的排查
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论