【医院信息系统典型故障案例解析】网站流量分析模块调用外部文件导致网站弹出广告

【案例概述】

案例关键字：网站广告外部网站JS文件

网站访问大部分是外部向内部网络的访问行为，因此往往大部分网站维护人员都将重心放在外部向内部的访问控制和安全防护上，往往会忽视内部网络到外部网络的行为，小L就处理过访问网站弹出广告的问题，原来是网站某个功能模块调用外部网站JS文件导致的，修改该功能模块后恢复。

【案例还原】

小L是某医院的网站维护人员，某天上午09:00，小L接到部分用户反映访问医院A官网，会弹出其他网站的广告。小L心想，难道自己的网络被外部篡改或者植入恶意程序了？

（1）控制范围

小L确认问题后，09:05分将官网切换到维护状态，防止该问题继续扩散。

（2）定位问题

小L对官网后台日志进行分析，分析后未发现异常；再对防火墙、IPS等设备进行日志分析，亦未发现异常；无法通过日志分析定位问题。小L就纳闷了，怎么就被植入广告了呢？

于是，小L联系软件开发商和网络提供商协助排查。

据以往经验，需还原问题发生的场景，通过对问题行为进行分析来定位问题原因。经信息科领导同意，利用软件开发商和网络提供商到达现场的1小时空隙，小L搭建封闭环境进行测试。

小L对服务器的行为进行分析，10:30经对服务器数据包进行分析，发现每次访问官网，服务器都会访问一个网址，根据对该网址的追踪，发现是一个网站流量统计的网站。

小L将发现问题反馈给软件开发商，作进一步跟踪。经软件开发商排查，问题由官网上一个网站流量统计功能模块调用外部网站JS文件，外部网站更改该JS文件所致。

（3）问题初步解决

软件开发商针对该问题对相应功能模块进行修改，经测试通过后、发布新版本，对官网进行更新。

正式环境测试、检查确认没有问题后，开放官网的访问服务，官网业务恢复正常访问。

（4）渗透性测试

小L还是觉得官网存在问题，于是叫安全服务商对官网进行渗透测试，以提早发现网站存在问题，及早修复避免下次状况发生。

渗透测试团队在登录接口中，输入帐号密码后，拦截数据报，发现存在缺陷，导致网站存暴力破解；从数据包可看到，密码处于明文状态。

点击修改个人信息，在微信号栏中插入恶意的脚本语句：<imgsrc=x onerror=alert(1)>，点击确认；查看返回数据包。恶意的代码就执行，存跨站脚本攻击风险。

测试网站是否对输入输出进行过滤，未发现SQL注入漏洞检测。

测试网站身份认证功能，测试工作包括缺省的或可猜测的（字典攻击）用户账户测试、验证旁路迂回测试、注销管理和浏览器缓存管理、弱密码测试等。网站根据Cookie来判断用户的权限，无法通过修改ID进行越权操作，未发现越权风险。

测试网站是否已对上传功能点作文件后缀和内容检测相关防护，未发现校验控制措施问题，攻击者无法进行任意文件上传，无法通过上传漏洞上传木马文档。

测试网站是否能通过路径遍历下载到服务器任意系统文件，未发现缺陷。

通过工具及手工挖掘，未发现系统存在敏感信息泄露的漏洞。

通过收集信息，判断使用了哪些第三方或开源工具、软件、中间件、开发包等，再判断是否已打上补丁，防范如Java反序列化漏洞、openssl心脏滴血漏洞等已公开的漏洞。

（5）修复加固

登录功能添加图形验证码。

对所有用户输入数据进行数据验证，从数据中剔除危险字符<> " ' : # $ { # }+等。

对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。

【案例总结】

1. 信息网络安全不仅要检测外部网络到内部网络的行为，也应监控内部网络到外部网络的行为。服务器需接入上网行为管理，及时发现服务器发起的异常链接。

   
   

2. 完善应急预案。本次异常问题处理，由于没有完整的测试环境，需临时搭建，浪费了一定时间，如有完整的测试环境，可减少异常排查时间。

   
   

3. 项目或系统验收通过后，在应用维护阶段新增的小功能模块可能存在漏洞，应定期对系统进行安全测评。软件开发商交付的功能模块，应通过安全测试，必要时可聘请专业安全测评机构进行检测。

   
   

4. 使用HTTPS协议传输相关敏感信息，同时在Cookie中加入secure、only等参数，认证时加入token参数，能保证认证信息与Cookie安全。如无法实施HTTPS，可在传输过程中使用相关加密算法对密码进行加密处理，能提高攻击者破解的难度而不影响用户的正常使用。

   
   

5. 对其它个人信息可使用*号进行部分替换，仅显示部分，提高系统隐私保护性和安全性。

本文选自《医院信息系统典型故障案例解析》

主    编  傅昊阳

副主编  马丽明  贺嘉嘉  高峰

点击以下图片可直接购买：《医院信息系统典型故障案例解析》