[安全分析报告]使用某科技公司客服系统的风险分析

一、YS客服系统问题描述:

         YS使用的是某公司开发的客服系统,使用该系统的如下优点:安装和部署简单,解决方案相对完善,所以不需要单独开发YS独立的客服系统。注册和使用该系统的基本流程图如下:

 

clip_image001

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

二、钓鱼攻击示意图一(通过篡改客服ID):

 

           
  clip_image002
 
   

                                    正常流程

 
 
    clip_image003

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

三、钓鱼攻击示意图二(通过SQL注入):

说明:某网站在wooyun漏洞发布平台上爆过多个严重sql注入,一旦YS对应的客服ID被恶意篡改成钓鱼网站的客服ID,用户最终会遭受钓鱼攻击。

 
  clip_image004

 

 

 

 

 

 

 

 

 

四、盗取用户cookie攻击示意图二(通过SQL注入):

说明:某网站在wooyun上爆过两个存储型XSS漏洞,当用户访问存在漏洞的页面时,用户将会遭受被盗窃cookie的风险。当前YS在用户登录后会自动向某发送请求以启动客服系统,如果这些请求中有存在存储型XSS漏洞的页面,那么所有登录YS的用户的cookie都会被盗取。

 
  clip_image005

 

 

 

 

 

 

 

 

 

 

 

 

五、结论:

         使用某公司科技的客服系统虽然存在以上风险,但总体安全性仍在可控范围之内。我们可以通过积极措施进行应对,比如

1、  在知名漏洞站点上保持关注kf公司的最新漏洞动态信息,随时升级最新补丁。

2、  由于客服系统业务相对独立,将严格和其它业务在物理和逻辑上做严格隔离。

3、  做好入侵检测和防御。

 

posted on 2014-12-17 18:36  Fish_Ou  阅读(583)  评论(0编辑  收藏  举报