一次数据泄露的排查

admin 2025年3月25日10:13:49评论12 views字数 1459阅读4分51秒阅读模式

近年来数据泄露安全事件频发,在今年的hw网络安全攻防演练中,获取敏感信息、数据泄露等漏洞的得分也越来越高。在实际工作的工作中我们也遇到了一次数据泄露情况,下面就来看看当遇到这种情况时如何进行排查。

数据泄露的可能途径

1.外部攻击和黑客活动

如果系统存在漏洞,黑客发现并成功利用这个漏洞,则可能会导致数据的泄露。如sql注入,命令执行漏洞等等。

另外还有接口中返回了敏感信息,导致数据泄露。

2.内部人员泄露

这里包含两个方面,一个是由于员工的疏忽,不当操作或缺乏安全意识导致的不是故意的泄露。如电子邮件发给了错误的收件人。

另一个就是内部员工故意泄露的,如通过售卖公司信息获利。

3.系统漏洞和配置错误

未及时更新或配置不当的系统和软件可能存在安全漏洞,攻击者可利用这些漏洞访问和窃取数据。错误的网络配置或安全设置也可能导致数据泄露,如不安全的文件共享设置或未加密的通信通道。

4.第三方服务或合作伙伴

与第三方合作伙伴共享数据时,未采取足够的安全措施,遭到攻击或违反合同规定,未经授权地访问,都可能导致数据泄露。

5.物理安全漏洞

丢失或被盗的存储设备(如笔记本电脑、手机、USB闪存盘等)可能包含敏感数据及不安全的文件处理(如随意丢弃包含敏感信息的纸质文件)也可能导致数据泄露。

数据泄露排查办法:

1. 首先要看下数据泄露的数据特征,判断数据可能来自哪个应用系统(APP、网站、系统)。

2. 然后对重点怀疑数据可能泄露的应用系统,画出业务关系拓扑图。

3. 根据业务拓扑图,对所涉及的应用系统(APP、网站、系统),开展渗透测试(H5/api/PC),检测是否存在漏洞,而这个漏洞是否可导致数据泄露。

4. 对所有的应用系统的访问日志进行安全审计与人工排查,是否有可疑的请求与访问,有些接口可能存在数据泄露,在实际排查过程中,有些黑客会使用python等工具进行批量爬取数据的特征,检查是否有python等的浏览器标识日志,以及某个IP的访问频次。

5. 对(APP、网站、系统)访问权限进行梳理确认,看是否存在越权访问等漏洞。

6. 排查WAF/阿里云盾/腾讯云安全等的安全告警日志,检查是否有被黑客入侵和攻击的痕迹,像提示有Webshell木马后门文件,服务器异地登录,bash后门,服务器后门,异常进程,等等的安全提醒都要注意查看,一般来说服务器都可能被黑客入侵了。

一次数据泄露排查

事件起因:一次在咸鱼上看到有人在卖我们公司的验证码,可以通过验证码注册公司账号。当发现该问题以后,我们开始排查该验证码的泄露途径。

排查过程

1)首先分析验证码可能得泄露途径

  • 外部接口中返回包中包含了验证码
  • 内部人员泄露
  • 存在漏洞,恶意攻击者进入了内部

2)排查是否通过外部接口泄露

我们通过waf,以及人工去测试相关功能点都没有发现相应的系统存在。

3)排查相关日志

排查相关数据库,系统的日志看是否有异常访问

4)修改数据库数据排查

上面的几个步骤都没有发现泄露的问题点在哪里,最后决定修改数据库中的数据,看泄露的点在哪里。

首先,画出了验证码的数据流图,统计除了验证码在那几个数据库以及系统中存在,然后手工修改库里面的内容,在咸鱼上联系人看是否能够给出正确答案。通过该方式最终确定了泄露点在哪里,然后再去排查相关系统的日志,最终也找到了泄露的原因。

总结

数据泄露的方式多种多样,要根据实际的情况进行分析以及指定恰当的方式去排查。

参考链接

https://cloud.tencent.com/developer/article/2326322

原文始发于微信公众号(信安路漫漫):一次数据泄露的排查

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月25日10:13:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一次数据泄露的排查https://cn-sec.com/archives/3881332.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息