为了保护有罪的人,我将避免提及姓名......
我知道昨晚有一个网站瘫痪了。大概是这样的。大约 5 个小时里,所有对这个 asp.net 网站的请求都产生了 YSOD。输出的详细信息包括模拟标签,表明该网站在管理员帐户下运行,并包含密码。这个特定的网站每年会获取 10,000 多人的个人信息和信用卡信息。
这里有很多明显的问题,其中最大的问题是凭据暴露了 5 个小时。其次,他们一直使用管理员凭据运行该网站,谁知道有多久了。第三,他们在错误情况下向公众吐出 YSOD 屏幕。
如果您受命与该客户合作解决此问题、降低风险并确定潜在危害的范围,您会建议做什么?我打算告诉他们他们需要...
- 聘请外部安全咨询公司对服务器、请求历史记录和其他元素进行彻底审核,以确定是否发生了任何损害的级别。
- 他们实际上应该转移到不同的服务器
- 从原始源重建代码,而不是服务器上的副本
- 如果有篡改证据曝光,考虑通知信用卡存在风险的客户
房东说他们不存储信用卡号,但我认为如果犯了这么多基本错误,你就不能真正相信他们说的话。他们可能认为他们没有存储卡号,但这并不意味着他们不是无意中这样做的。
答案1
你的任务是“与这位客户合作”……但你没说要做什么。修复他们的应用程序?安装新电脑?清扫地板?
如果您负责修复所提出的这个特定问题,那么首先应该立即将服务器离线,然后在另一台服务器上从头开始重建。 该服务器不再受信任。您可以通过保留旧服务器上的所有内容(但使其处于离线状态)来确定它是否已被破坏。
如果确实发生了违规行为,他们可能实际上需要法律要求通知用户他们遭受了违规行为。如果您自己缺乏确定是否发生违规行为的资源,请聘请外部顾问来确定。
听起来,至少他们的 web.config 中有一些设置不正确。它应该只会在本地而不是远程抛出这些详细的错误消息。他们可能还启用了 debug="true",这在生产中是不正确的。 他们的应用程序也不再值得信任。
YSOD 到底是什么?
答案2
首先,我想说的是,我的回答是基于我的理解,即发生了违规行为,并且很可能发生了犯罪行为。话虽如此……
以上所有都是合适的,但是你应该将“外部安全公司”项目移至行动后项目,并将其替换为“联系执法部门(FBI?)以启动调查”。我不是律师,但考虑到他们从事商业活动,这似乎是明智之举,即使不是强制性的。
他们处理但不存储信用卡号的说法是无关紧要的公关言论。如果他们处理某些东西,它会被放在内存中。(别介意它可以被写入页面文件的事实……)内存中的任何内容都可以被检索,尤其是在受感染的系统上。特别是如果你不信任他们的代码质量。
这可能会遭到巨大的阻力,但在我看来,这是正确的做法。
鉴于涉及用户的凭证,提示建议的密码重置也可能是明智的。
—沃尔多