1. 某部委遭遇CC攻击
事件概述
某日,安服团队接到某部委的网站安全应急响应请求,网站存在动态页面访问异常缓慢现象,但静态页面访问正常,同时WAF、DDoS设备出现告警信息。
应急响应人员通过对现场技术人员所提供WAF告警日志、DDoS设备日志、Web访问日志等数据进行分析,发现外部对网站的某个动态页面全天的访问量多达12万次,从而导致动态页面访问缓慢。
根据本次攻击事件的分析,造成网站动态页面访问缓慢的原因主要是攻击者频繁请求"XXX页面"的功能,同时该页面查询过程中并未要求输入验证码信息,大量频繁的HTTP请求以及数据库查询请求导致CC攻击,从而使服务器处理压力过大,最终导致页面访问缓慢。
防护建议
- 对动态页面添加有效且复杂的验证码功能,确保验证码输入正确后才进入查询流程,并每次进行验证码刷新
- 检查动态页面是否存在SQL注入漏洞
- 加强日常监测运营,开启安全设备上的拦截功能,特别对同一IP的频繁请求进行拦截封锁
- 建议部署全流量的监测设备,从而弥补访问日志上无法记录POST具体数据内容的不足,有效加强溯源能力
- 相关负载设备或反向代理上应重新进行配置,使Web访问日志可记录原始请求IP,有助于提高溯源分析效率
- 开启源站保护功能,确保只允许CDN节点访问源站
- 定期开展渗透测试工作以及源代码安全审计工作