码迷,mamicode.com
首页 > 其他好文 > 详细

使用某科技公司客服系统的风险分析

时间:2014-12-17 20:38:47      阅读:147      评论:0      收藏:0      [点我收藏+]

标签:style   blog   http   ar   io   color   os   使用   sp   

一、YS客服系统问题描述:

         YS使用的是某公司开发的客服系统,使用该系统的如下优点:安装和部署简单,解决方案相对完善,所以不需要单独开发YS独立的客服系统。注册和使用该系统的基本流程图如下:

 

bubuko.com,布布扣

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


二、钓鱼攻击示意图一(通过篡改客服ID):

 

bubuko.com,布布扣

                                    正常流程

 
bubuko.com,布布扣

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


三、钓鱼攻击示意图二(通过SQL注入):

说明:某网站在wooyun漏洞发布平台上爆过多个严重sql注入,一旦YS对应的客服ID被恶意篡改成钓鱼网站的客服ID,用户最终会遭受钓鱼攻击。

bubuko.com,布布扣

 

 

 

 

 

 

 

 


四、盗取用户cookie攻击示意图二(通过SQL注入):

说明:某网站在wooyun上爆过两个存储型XSS漏洞,当用户访问存在漏洞的页面时,用户将会遭受被盗窃cookie的风险。当前YS在用户登录后会自动向某发送请求以启动客服系统,如果这些请求中有存在存储型XSS漏洞的页面,那么所有登录YS的用户的cookie都会被盗取。

bubuko.com,布布扣

 

 

 

 

 

 

 

 

 

 

 


五、结论:

         使用某公司科技的客服系统虽然存在以上风险,但总体安全性仍在可控范围之内。我们可以通过积极措施进行应对,比如

1、  在知名漏洞站点上保持关注kf公司的最新漏洞动态信息,随时升级最新补丁。

2、  由于客服系统业务相对独立,将严格和其它业务在物理和逻辑上做严格隔离。

3、  做好入侵检测和防御。

 

使用某科技公司客服系统的风险分析

标签:style   blog   http   ar   io   color   os   使用   sp   

原文地址:http://www.cnblogs.com/fishou/p/4170092.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!