128 上
期中成绩出来后的那个周末,雨晴在家待了两天。周六上午把数学卷子重新做了一遍,错了的题抄进错题本。下午看了会儿技术文章,一篇讲JWT token伪造的,讲得不错,她搭了个环境试了一下,成功了。晚上林听夏加班没来,她自己煮了碗面,吃完看了部电影,看到一半觉得无聊关了。
周日上午,周正平发来消息。
“有个项目,客户是做电商的,他们的API被黑了,需要做溯源分析。你远程先看看,不行的话可能需要来现场。”
雨晴回了一个“好”。周正平把客户提供的日志包发过来,几十兆的压缩文件。她下载解压,打开看。nginx日志,几万行。她先看时间范围,三天前的。攻击者的IP来自好几个国家,但雨晴注意到其中一个IP在日志里出现频率最高,而且访问的都是敏感接口——用户信息、订单列表、支付回调。她把这个IP单独拎出来,翻看了它的所有访问记录。这个IP先访问了登录接口,返回200,然后访问了用户信息接口,返回了用户数据。再看登录接口的请求参数,用户名是admin‘ or ’1‘=’1,密码是任意值。SQL注入。攻击者用万能密码登录了后台,获取了管理员权限,然后遍历了所有用户的订单数据。
她把这个问题写进分析报告,又翻了翻其他IP。有几个IP的行为模式类似,都是先扫目录,然后试上传接口,最后在一个测试接口上成功了——/test/upload,没有鉴权,直接上传了webshell。攻击者上传了一个图片马,然后用文件包含漏洞执行了。这个测试接口应该是开发人员留下来的,上线的时候忘了删。
雨晴把这些都整理成文档,发给周正平。周正平回了一条:“可以。但客户那边还想要一个人来现场做一次安全加固的指导,你能不能去?周三到周五,三天。小陈和张远都有项目走不开,你是最熟悉这个客户代码的。”
雨晴看了看日期,周三到周五。她查了课表,那几天有语文数学英语物理,都不是主课中的主课。跟班主任请假。她犹豫了一下,还是发消息请了。
班主任回:“你又请假?”雨晴说:“工作上的事。”班主任说:“回来补课。”雨晴说“好”。
跟林听夏说了。林听夏问“去哪”,雨晴说“上海”。林听夏说“几天”,雨晴说“周三到周五”。林听夏没再问了。
群里说了一句“周三去上海出差”。小叶子问“又出差”,雨晴说“嗯”。慕瑶说“我还在南京,你来吗”,雨晴说“这次不去南京”。洛神冒出来了:“上海?几号?”雨晴说“周三到周五”。洛神说:“那周四晚上有空吗?见一面。”雨晴想了想,上次在南京见了慕瑶,这次到上海了,见洛神也是顺理成章。“好。”
何意味发了一个猫在行李箱里的图,配文“我也想去”。雨晴没回。
周二晚上收拾行李。换洗衣服、充电器、笔记本、身份证。橘子皮蹲在行李箱旁边看她叠衣服,伸出爪子扒拉了一下。雨晴把它抱开,它又走回来。她把衣服放好,拉上拉链。橘子皮跳上去趴在上面。雨晴把它抱下来,猫哼唧了一声。
林听夏发消息:“明天几点的车?”雨晴说“早上八点多”,林听夏说“那早点睡”。雨晴回了一个“嗯”。
周三早上,雨晴打车去高铁站。早上的郑州天刚亮,路灯还亮着。司机是个中年女人,一路没说话。到站安检检票上车,找到座位靠窗。旁边坐着一个年轻男人,戴着耳机闭着眼,从头到尾没睁开。
火车开了。窗外郑州的楼房慢慢退后,变成农田,变成一排排杨树。雨晴把笔记本拿出来,把昨晚的日志分析报告又看了一遍。SQL注入那个问题她写了详细的分析过程,攻击路径、影响范围、修复建议。支付回调那个也写了。测试接口上传webshell的她单独列了一条,建议下线测试接口,或者加白名单控制。看完觉得没什么要改的了,把笔记本合上。
靠着车窗闭了一会儿眼,没睡着。
到上海的时候十一点多。出站打车去客户公司。客户公司在浦东,一栋写字楼的十二层。前台接待让她等一下,过了几分钟出来一个年轻男人,姓黄,叫她“陈老师”。雨晴被他叫得愣了一下,说“叫我小陈就行”。黄工带她到会议室,桌上摆着几台显示器,电源线已经插好了。
“这是我们API的代码,还有服务器的访问权限。你先看,有问题随时叫我。”
雨晴坐下来,打开代码。上次远程分析的是日志,这次能看到源码了。登录模块的SQL注入问题,代码里果然是用拼接的方式,没有预编译。她在本地搭了个环境验证了一下,万能密码确实能登录。在代码里标注了,写了修复方案——用PreparedStatement。
支付回调模块没有验签,上次日志分析的时候推断出来了,这次在代码里确认了。回调接口接收参数后直接更新订单状态,没有校验签名。她写了修复方案——用HMAC-SHA256生成签名,回调时验证。
测试接口的上传功能,源码里有一个/test/upload的Controller,上线没注释。她把那段代码截了图,写了建议——下线该接口,或者加IP白名单。
下午四点多的时候,雨晴把报告写好了。黄工进来看了一眼,说“这么快”。雨晴说“问题不多”。黄工翻了翻报告,看到SQL注入那条,说“这个确实严重”。看到测试接口那条,皱了皱眉,“这个应该是开发忘记删了,我让他们处理”。雨晴没说话。
五点多收工。黄工问她“明天还来吗”,雨晴说“来,把加固方案跟开发对一下”。黄工说行,帮她打了车。
酒店在客户公司附近,走路十五分钟。雨晴办了入住,洗了个澡,躺在床上。群里洛神发消息问“到了吗”,雨晴回“到了,在酒店”。洛神说“明天晚上?”,雨晴说“好,你定地方”。洛神发了一个地址,在静安寺附近,雨晴查了一下距离,打车半小时。
晚上在酒店附近找了一家面馆,吃了一碗面,二十八块。比郑州贵,但比上次在吃的便宜。吃完回酒店,坐在床上把报告又改了一遍。改完之后发给周正平,周正平回了一个“收到”。
群里小叶子在问“上海好玩吗”,雨晴说“没玩”。小叶子说“你每次都这样说”。慕瑶说“下次来南京玩”,雨晴说“好”。何意味发了一个猫在地铁上的图,配文“我也想坐高铁”。深海发了一张猫看地图的图。雨晴没回。
十点多关灯躺下。酒店房间比家里大,床也大,但睡不着。换了地方不习惯。她翻了几次身,拿起手机看了一眼,林听夏发了条消息“到了吗”,她下午回的“到了”,林听夏没再回了。她把手机放到枕头旁边,闭上眼睛。
周四上午,雨晴再去客户公司。
黄工叫了两个开发过来,一起对修复方案。开发问“SQL注入那个,用预编译就行了对吧”,雨晴说“嗯,注意like查询也要处理”。开发又问“支付回调那个,签名算法用什么的”,雨晴说“HMAC-SHA256,密钥放配置文件,不要硬编码”。开发点点头,在笔记本上记。
测试接口那个问题,开发说“这个我们直接下线了”。雨晴说“下线是最安全的”。下午又把日志分析了一遍,看看还有没有遗漏的攻击痕迹。查了数据库访问日志,发现攻击者访问了用户表,但没有导出数据的记录。可能是没来得及,也可能是删了日志。雨晴在报告里写了“建议加强数据库审计”。
三点多的时候,周正平发了条消息:“你那边完事了来一趟公司?有个小会,正好你也听听。总部这边搞了个网络宣传部的项目,跟安全也有点关系。”
雨晴问黄工还有没有事,黄工说“差不多了,报告你发我就行”。雨晴把最终版报告发了,打车去众安科技上海分部。
公司在静安寺附近的一栋写字楼里,离晚上和洛神约的地方不远。前台带她到会议室门口,说“周总在里面”。雨晴推门进去,会议室不大,坐着七八个人。周正平在最前面,看到她招了招手。
雨晴找了个角落坐下来。周正平正在讲一个关于网络安全宣传的项目,说什么“要做出圈的内容”“吸引年轻用户”。雨晴听了一会儿,大概意思是公司要搞一个网络安全科普的短视频账号,需要技术这边配合出内容。
正说着,会议室的门被推开了。
一个年轻人探了半个身子进来,穿着一件亮黄色的卫衣,头发染成棕色,手里拿着一个公文包。他往里看了一眼,笑着说“不好意思来晚了,路上堵车”。周正平皱了皱眉,还没来得及说话,走廊里传来急促的脚步声。两个穿制服的保安走过来,一左一右站在年轻人身后。
“你是王文洪?”其中一个保安问。
年轻人愣了一下。“是我。怎么了?”
“跟我们走一趟。”
“什么事?我是来开会的!”
保安没解释,伸手抓住他的胳膊。王文洪挣了一下,没挣脱。他的脸一下子白了,声音也大了。“你们干嘛!我是来开会的!我是公司网络宣传部的!周总——周总你说句话!”
周正平坐在前面,没动。他看了王文洪一眼,又看了看保安。保安凑过来弯腰在他耳边低语了几句。周正平的表情没变,朝保安点了点头。
王文洪被保安架着往门外拖。他挣扎着,一只脚蹬在门框上,皮鞋蹭掉了一块皮。“我是来开会的!你们是干什么的!”声音在走廊里回荡。会议室里没人说话。雨晴坐在角落,看着王文洪被拖走,黄色卫衣在走廊里晃了一下,消失了。
门关上了。
会议室安静了几秒。周正平敲了敲桌子。“继续。”
旁边一个人凑过去小声问了句什么,周正平摇了摇头,没解释。雨晴坐在后排,看着前面那些人的侧脸。有人低头看手机,有人在本子上写字,有人面无表情。没人提刚才的事,好像什么都没发生过。
会开了大概一个小时。雨晴听了个大概,没记什么东西。散会的时候周正平走过来,问她“客户那边搞定了”。雨晴说“嗯,报告发了”。周正平点了点头。“晚上跟洛神约了?”雨晴愣了一下,不知道他怎么知道的。“群里说的。”周正平笑了笑。“去吧,注意安全。”
雨晴走出会议室。走廊里已经恢复了平静,刚才的事情好像从来没发生过。她往电梯口走,路过前台的时候听到两个女职员在小声说话。
“王文洪?”
“嗯。听说他去年年会顺走了几瓶酒,还有报销的事,贪了不少。”
“真的假的?”
“不知道。反正今天被带走了。”
雨晴按了电梯,没回头。电梯来了,她走进去,门关上。
