[安全分析报告]使用某科技公司客服系统的风险分析
一、YS客服系统问题描述:
YS使用的是某公司开发的客服系统,使用该系统的如下优点:安装和部署简单,解决方案相对完善,所以不需要单独开发YS独立的客服系统。注册和使用该系统的基本流程图如下:
二、钓鱼攻击示意图一(通过篡改客服ID):
|
|||||
三、钓鱼攻击示意图二(通过SQL注入):
说明:某网站在wooyun漏洞发布平台上爆过多个严重sql注入,一旦YS对应的客服ID被恶意篡改成钓鱼网站的客服ID,用户最终会遭受钓鱼攻击。
四、盗取用户cookie攻击示意图二(通过SQL注入):
说明:某网站在wooyun上爆过两个存储型XSS漏洞,当用户访问存在漏洞的页面时,用户将会遭受被盗窃cookie的风险。当前YS在用户登录后会自动向某发送请求以启动客服系统,如果这些请求中有存在存储型XSS漏洞的页面,那么所有登录YS的用户的cookie都会被盗取。
五、结论:
使用某公司科技的客服系统虽然存在以上风险,但总体安全性仍在可控范围之内。我们可以通过积极措施进行应对,比如
1、 在知名漏洞站点上保持关注kf公司的最新漏洞动态信息,随时升级最新补丁。
2、 由于客服系统业务相对独立,将严格和其它业务在物理和逻辑上做严格隔离。
3、 做好入侵检测和防御。