启明星辰FlowEye入侵分析之WebService应用漏洞
WebService是 种Web应用程序分支,其可以执行从简单的请求到复杂商务处理的任何功能。 旦部署以后,其他WebService应用程序可以发现并调用它部署的服务。WebService技术, 能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件, 就可相互交换数据或集成。因此,众多的分布式、模块化应用程序和面向服务的应用集成都采用了WebService技术。
但WebService技术在为我们提供了开放性,跨平台性便利的同时,也为用户埋下了安全隐患。同时,当非法人员利用WebService在应用开发方面的漏洞成功入侵时,依靠传统的安全防护手段收效甚微。启明星辰FlowEye产品,是入侵分析 域的 军产品,对发现此类入侵行为非常直观、有效。下面以FlowEye在某用户网络中发现黑客利用WebService接口进行非法数据获取的案例来告诉大 ,重视WebService接口安全已经刻不容缓。
在2016年的3月7日,在该用户网络中部署的启明星辰FlowEye系统中产生了 条告警事件,在宽阔的告警页面,孤零零的 条告警信息分外惹人注意。告警信息显示,来自新疆维吾尔自治区乌鲁木齐市的某个IP(43.224.52.23)与内网的XX.XXX.XX.134这个IP的7013端口产生了非法访问,流量达到3.394M。见图1:
图1
这条告警信息马上引起了安全管理员的注意。安全管理员随之对告警信息展开查看,发现在2016-3-7 10:09:19到10:10:25这个时间段内,远在乌市的那个IP对内网这台服务器共进行了4次访问,见图2:
图2
管理员继续查看每次访问的具体细节,
第1次:
黑客调用了 个WebService方法,调用的方法为searchversionForPlat,链接是
http://XXX.XXX.XX.XXX:7013/handtask/services/DocsInfoService这个内部地址,请求的内容为:,服务器 终返回访问成功,并在返回的字符串中携带了下述下载链接:http://XXX.XXX.XX.235:7013/handtask/apk/zsyw66.apk,见图3:
图3
第2次:
黑客直接对
http:// XXX.XXX.XX.XXX:7013/handtask/apk/zsyw66.apk进行访问,但被系统强制中断了,见图4
图4
第3次:
显然,黑客并没有死心,继续尝试对http:// XXX.XXX.XX.XXX:7013/handtask/apk/zsyw66.apk进行访问。这次访问产生了3.454M的流量, APK被黑客下载成功。
第4次:
这次,黑客调用了另外 个方法,链接到了另外 个内部地址,系统返回访问成功,同时,系统的返回内容中携带了 串加密信息,见图5:
图5
至此,管理员已经完全掌握了此次事件的内幕,我们将其完整还原 下:
该用户为方便运维人员的日常办公,开发了 套掌上APP,而XX.XXX.XX.134这个IP正是掌上APP系统的服务端。根据公司管理要求,能够安装掌上APP客户端的终端必须要经过认证,然后才能安装终端并进行掌上APP工作。然而由于某些原因,掌上APP客户端获取途径的WebService接口出现了两个, 个未经加密, 个经过了加密。此次黑客正是利用了未经加密的WebService接口,在未经APP服务端认证的情况下获取了掌上APP客户端的安装包,同时利用已经加密的WebService接口返回的信息和未经加密的接口获取的返回信息对比之后,获得了加密接口的密钥。
安全管理员通过此次FlowEye提供的告警信息,不仅发现了掌上APP系统存在的WebService应用接口漏洞,同时还发现了这套APP系统对客户端的认证方面还存在安全漏洞。
结束语:
启明星辰FlowEye系统,通过监控是否存在非法互联,实时帮助用户检测是否存在非法入侵行为,帮助用户快速定位内网被入侵的主机IP,并帮助用户分析被入侵的具体过程,找出了业务系统的风险点。FlowEye是入侵分析 域的 款非常有效的安全产品。