[安全分析报告]使用某科技公司客服系统的风险分析

一、YS客服系统问题描述：

         YS使用的是某公司开发的客服系统，使用该系统的如下优点：安装和部署简单，解决方案相对完善，所以不需要单独开发YS独立的客服系统。注册和使用该系统的基本流程图如下：

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

二、钓鱼攻击示意图一（通过篡改客服ID）：

 

			正常流程

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

三、钓鱼攻击示意图二（通过SQL注入）：

说明：某网站在wooyun漏洞发布平台上爆过多个严重sql注入，一旦YS对应的客服ID被恶意篡改成钓鱼网站的客服ID，用户最终会遭受钓鱼攻击。

 

 

 

 

 

 

 

 

 

四、盗取用户cookie攻击示意图二（通过SQL注入）：

说明：某网站在wooyun上爆过两个存储型XSS漏洞，当用户访问存在漏洞的页面时，用户将会遭受被盗窃cookie的风险。当前YS在用户登录后会自动向某发送请求以启动客服系统，如果这些请求中有存在存储型XSS漏洞的页面，那么所有登录YS的用户的cookie都会被盗取。

 

 

 

 

 

 

 

 

 

 

 

 

五、结论：

         使用某公司科技的客服系统虽然存在以上风险，但总体安全性仍在可控范围之内。我们可以通过积极措施进行应对，比如

1、  在知名漏洞站点上保持关注kf公司的最新漏洞动态信息，随时升级最新补丁。

2、  由于客服系统业务相对独立，将严格和其它业务在物理和逻辑上做严格隔离。

3、  做好入侵检测和防御。