1
最近Aetna suffered a breach它丟失了65,000個SSN。他們從未能夠找到發生的事件的審計線索,這可能暗示該攻擊利用了XSS或類似技術。在不留審計線索的情況下攻擊網站
有沒有特定的已知攻擊,壞人一再利用這種類型的攻擊?
A
回答
3
人們常犯的錯誤有人們使用的常見平臺。如果不加修補,每個人都可以使用一個簡單的腳本來打破他人。
但是如果有人特意追求某些東西,在這種情況下,社會安全號碼在有組織犯罪圈中具有很高的價值,那麼我會希望有人花更多的時間來弄清楚該網站是如何工作和應用自定義的利用來獲取數據。
我不明白爲什麼它必須是XSS。如果他們的系統沒有將訪問日誌發送到服務器外,或者甚至記錄每個入口點,那麼有人可以利用各種方法利用可利用的服務器並在之後進行清理。
2
目前尚不完全清楚這是一次技術性失敗,而且鑑於未取得明確的取證結果,我認爲這更像是一次人爲失敗,無論是社交工程,數據遺留在列車座位上,或者心懷不滿的員工。
AFAIK真正留下零審計線索的唯一方法是審計未寫入。單獨記錄HTTP流量總會給你一些基於HTTP攻擊的證據。
1
我已經看到了一些自動化攻擊的結果,他們做的第一件事情之一是禁用日誌記錄,並刪除所有日誌。
這就是爲什麼將日誌記錄位置更改爲非標準路徑的常見原因 - 它不會對確定的攻擊者進行任何操作,但會在自動攻擊的情況下爲您提供更多信息。
0
缺乏審計線索並不令人意外。沒有多少公司在那裏保留有意義的審計線索。當然,通常有千兆字節和千兆字節的日誌,但誰會經歷所有這些?大多數IT場所只會在足夠老的時候丟棄它,所以完全有可能這種違規發生在前一段時間,而且他們已經從文章中剔除了日誌,因爲他們看起來並不知道可能的違規行爲,直到垃圾郵件開始進來。
我會懷疑可憐的IT而不是一些聰明的攻擊導致缺乏審計線索。
相關問題
- 1. 釣魚攻擊Azure網站
- 2. 黑客攻擊該網站?
- 3. XSS攻擊ASP.NET網站
- 4. 在不改變網站的情況下在Rails中做動作
- 5. PUT vs POST在審計表或修訂歷史情況下
- 6. 在不使用Webview的情況下登錄到網站
- 7. 如何在不中斷網站的情況下刷新MySQL表?
- 8. 跨站點腳本攻擊(xss)攻擊
- 9. 網站遭到入侵:ZMEU攻擊
- 10. ASP.NET網站攻擊:如何迴應?
- 11. 網站iframe攻擊 - 插入源代碼
- 12. 幫助。 WebResource.axd導致攻擊網站
- 13. 法律網站SQL注入攻擊
- 14. 下載字體文件的情況下,網站進入離線狀態
- 15. 如何在不附加html的情況下打開網站的網頁?
- 16. 比較審計線索的值
- 17. 黑客攻擊計算機網絡
- 18. DDOS攻擊計算機網絡
- 19. 線性化攻擊
- 20. 使用Linux審計系統跟蹤web shell攻擊
- 21. HTTPS在默認情況下爲Apache上的單個網站
- 22. 默認情況下在quirksmode中打開的網站
- 23. 如何在沒有IIS的情況下創建動態網站
- 24. 在沒有數據庫的情況下運行Drupal 7網站
- 25. 網站能否在沒有javascript的情況下運行?
- 26. 在不訪問httpd.conf的情況下部署Django網站(帶或不帶mod_wsgi)
- 27. 網站不斷遭到黑客攻擊和改變的.htaccess
- 28. Java設計模式:Factory vs Singleton?在多線程的情況下
- 29. 在不留空白的情況下使用圖層(z-index)
- 30. 在不修改映射的情況下保留ActionForm值
我選擇不加密SSN作爲他們的最高錯誤。 – 2009-06-02 12:05:53