一次短信验证码攻击的应急响应

前言

前段时间客户现场被攻击,客户找到了公司,公司找到了我,于是有了这一次的应急响应,因为第一次搞,所以记录一下整个过程。

一、要做什么

刚开始不知道干啥,非常迷茫,通过老大的教导,事后总结了下面几条个人觉得非常重要的点。

  1. 事件确认,发生什么事情了,什么时间,是否紧急,影响程度等。
  2. 确定攻击动机,别人为什么攻击我们
  3. 确认攻击手段,利用什么漏洞进行攻击的,我们的应用是否存在高危漏洞,还是某一个中间件,还是其他攻击手段
  4. 制定解决方案,包括临时解决方案和最终解决方案。临时解决方案为了快速应对问题,最终解决方案为了彻底解决问题。
  5. 追踪溯源,尽可能确定攻击者的身份。
  6. 形成书面报告,说明事件的起因经过结果,说明事件的责任归属(谁的锅)。

二、详细过程

有了上面的指导,就可以第一次的应急响应了。

1. 事件确认

客户给公司反映有人投诉说收到了大量的短信验证码,然后登陆了服务器发现了大量短信验证码请求。

红色标记的就是失败的次数,非常的多,可以确认有人在利用短信验证码接口进行攻击。

2. 攻击动机

因为是大量短信验证码,所以攻击动机就有了两种:(1) 有人盯上了我们的客户,在恶意消耗我们的资源(但是我们客户是公安),所以可能性不大。(2) 我们的服务器被利用了,有人在利用服务器对特定的人进行短信验证码攻击,我们只是其中的一条。所以很可能是短信验证码轰炸平台利用了我们的资源。
后面给投诉用户打了电话,投诉的人告诉我们,他收到了很多平台的短信验证码,他的同事也收到了。(可以确定是短信验证码轰炸)

3.攻击点分析

首先先和开发确定了哪些接口都可以发送短信验证码,确定有三个可以发送短信验证码的。

#注册接口 可获取验证码
/api/user/smsxxxx?mobile=xxxx
/api/user/sms?mobile=xxxx&xxxxx
点击收藏 | 5 关注 | 1
登录 后跟帖