最近除了流量分析系统外,就在忙着自己发布论文,这次论文的内容是对于黑客攻击还原的研究
给大家选其中几段内容看一下:
1.1 通过沙箱还原
沙箱简单来说是一个虚拟的模拟环境,通过在沙箱中打开受到攻击的网站,然后再次进行模拟攻击,查看攻击后的页面场景。
这样做有一个缺点,那么就是如何保证甲方网站不受到二次的伤害,因为模拟攻击的准确性可能没有那么高,很有可能一个攻击代码的不同就会导致页面呈现出不同的结果。同时有可能给甲方网站造成白屏,数据库自动保护关闭的影响,造成甲方正常业务的中断,一般来说这样的还原方式甲方不容易接受。
1.2 通过克隆网站还原
将网站克隆到本地或虚拟机,通过本地攻击的方式还原黑客攻击,优势在于我们获取到了网站的源代码以及相关配置文件,能快速对代码进行审计和修改。
缺点也很明显,克隆网站只能克隆网站的前端代码,若目标网站采用的是前后端分离设计,那么将无法克隆数据库或中间件,因此能够还原的漏洞也是屈指可数,仅限于代码或逻辑层面。尤其是一些网站的图片,是存储在甲方自己的服务器中,通过远程链接的方式调用图片到页面。这种情况下我们克隆网站时,就无法获取图片到本地,整个网站看起来比较凌乱,增大了还原的难度。
如果是对网站源码进行分析,进行代码审计,查找网站编写时存在的逻辑漏洞,此时我们可以用各种代码审计工具帮助我们发现网站前端存在的漏洞进行还原。
1.3 通过修改在线网页源码还原
首先对黑客攻击时保留下来的pacp包进行分析,主要分析的是黑客攻击后的页面响应包。保存响应包内的页面源代码,访问受到攻击的页面,通过f12替换pacp响应包中的源代码,就能展现出黑客攻击后页面的情况。
这样做的好处是,最大限度减小了对甲方正常业务的干扰,还原方式比较简单,只需要分析响应包中的源代码,并且替换到甲方相应页面中即可。
但实际上这种方式还有很多的问题无法解决:如果甲方的正常业务没有恢复,受到攻击的页面已经被下线,
最低0.47元/天 解锁文章
扫一扫
7907
到【灌水乐园】发言
