Ces derniers jours, nous avons découvert que notre site Web comptait soudainement de nombreux membres. Ces membres sont tous similaires, mais les membres ne peuvent être ajoutés que via le système backend. Ils apparaîtront toujours après avoir modifié le mot de passe backend. Il n'y a aucune information sur l'opération dans le journal des opérations backend.
Il n'y a pas de champ d'entreprise parmi les champs qui peuvent être ajoutés en arrière-plan, on ne sait donc pas comment il a été attaqué.
Voici les données injectées :
Voici les données d'adhésion du site :
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
Tout d’abord, vérifiez le pare-feu. Si le site Web n’a pas d’exigences particulières en matière de port, ouvrez simplement 80. Comme 3306, 22, etc., seul le réseau interne de l'entreprise est accessible.
Deuxièmement, modifiez tous les mots de passe de la base de données, du backend, etc. (le mot de passe doit être plus long, en majuscules et en minuscules, et comporter des symboles spéciaux).
Troisièmement, si le backend doit uniquement être accessible par l'entreprise, essayez de masquer l'URL autant que possible. Faites également un test (c'est-à-dire n'autoriser l'accès au réseau de l'entreprise qu'en arrière-plan)
Quatrièmement, s'il y a une inscription de membre à la réception, assurez-vous qu'il y a un code de vérification et un contrôle de sécurité (c'est-à-dire que pour la même IP, il doit y avoir un intervalle de temps entre les inscriptions des membres)
Assurez-vous qu'après avoir terminé tout ce qui précède, laissez le programmeur vérifier les journaux du système, les journaux de la base de données, les journaux du programme... et s'il y a des failles dans le code du programme
Ajoutez un code de vérification lors de votre inscription !
Obtenez directement l'adresse de votre base de données + votre numéro de compte + votre mot de passe, puis exploitez directement votre base de données. Vous voyez, est-ce plus simple ?
Vérifiez le journal des opérations de MySQL, s'il n'est pas activé, activez-le et attendez.
Il peut s'agir d'une attaque par injection SQL. Même si vous modifiez le mot de passe SQL, vous devez toujours configurer le mot de passe correct dans l'environnement de production. Si vous ne modifiez pas la vulnérabilité SQL, il peut toujours injecter certaines données et remplacer tout le SQL. instructions avec PDO : : écrivez la méthode de liaison des paramètres de préparation, puis observez si le problème est résolu. De plus, si le système est utilisé en interne, il ne doit pas être ouvert sur le réseau externe et accessible via IP interne.
Lier l'observation du nuage Baidu. Ensuite, le compte de base de données doit être lié à l'injection IP
Sql et vérifier s'il y a un formulaire qui n'a pas été traité
Il serait bien préférable d'ajouter une vérification, mais certains font aussi une vérification d'identification, alors vous pouvez aussi faire des restrictions IP Si une IP fonctionne trop fréquemment, limitez le fonctionnement de cette IP ! Bien entendu, les experts peuvent également modifier en permanence les attaques IP. Cela dépend de la valeur de votre site Web !
Vérifiez le journal MySQL et consultez les enregistrements d'opération
Vérifiez d'abord le journal pour déterminer où se trouve le point d'écriture.
Votre base de données est-elle isolée ?
Nous avons également été attaqués. L'interface d'envoi de SMS était constamment sollicitée sans vérification auparavant, ce qui a directement rendu notre service SMS inutilisable