安全监测出的黑产链接的排查和加固

1、任意跳转类
1.1、 特征（一个或多个）：
● 传参为URL格式（内容可能会base64编码的结果）
● 可能存在多层跳转
1.2、 加固检查项
1.2.1、 如业务只需要跳转特定的域名，可通过白名单校验，强烈建议至少限制在三级域名以上（如 www.alibabagroup.com，即只允许 www.alibabagroup.com 或 *.alibabagroup.com）
● 尽量避免白名单中只限制在 alibabagroup.com，因公司其他业务可能存在xss或cos使用不当的情况，从而被当成利用的跳板；
● 尽量避免白名单中只限制 aliyun.com，该域名中的子域名可能被云用户（外部客户）自定义内容，如cos原生域名就会挂在该域名后，建议cos域名应限制到具体的桶(bucket)级别。如 abc-128123123.cos.ap-guangzhou.aliyun.com
1.3、修复参考文章《跳转漏洞》：https://www.cnblogs.com/ZeroITStudy/p/18978467

2、文件任意上传（如因COS使用不当可上传html文件）
2.1、 特征（一个或多个）：
2.1.1、伪装成音频或图片后缀的html/htm文件
○ 返回的body中含有html或js代码 （也可能经过混淆）
○ 返回的header的content-type 为 【text/html】、【text/Html】、【text/html;】
2.1.2、链接中的参数包含response-content-type=text/html
2.2、 加固检查项
2.2.1、存量链接清理
i) cos文件删除
ii) 如为cdn域名，需cdn缓存刷新
2.2.2、关注链接对应的文件的上传时间，如仍有新增，需关注控制新增。
i) 查找写入的cos日志，追溯写入的子账号，看子账号的接口服务是不是有被自定义权限的问题
ii) 后台服务代码：
a、是否有限制上传的content-type在合理范围内（通过临时密钥的policy）
b、是否有限制访问链接时的response-content-type参数（通过临时密钥的policy）
2.3、修复参考文章《COS使用不当的安全修复指引》：https://www.cnblogs.com/ZeroITStudy/p/18978525

3、XSS类
3.1、 特征（一个或多个）：
● 参数为URL（内容可能为base64格式）
● 参数为html/js代码（内容可能为base64格式）
3.2、 加固检查项（或）
● 修复漏洞
● 删除接口/页面
3.3、 跨站脚本攻击（XSS）的修复指引参考文章：https://www.cnblogs.com/ZeroITStudy/p/18978761
 
4、cos上黑产所用链接的上传路径排查：
4.1、黑产链接COS桶查找
● 黑产链接通常是CDN链接，业务如果确定cdn对应的COS桶，可直接询问业务。
● 如果业务不确定，可以找CDN域名归属哪个云主账号，找域名负责人或主账号相关负责人查域名回源地址中的COS桶名。
4.2、确认黑产链接文件上传子账号
● 确认黑产链接文件上传时间，查找桶文件上传子账号（仅能查一年内上传的记录）
4.3、历史漏洞关联判断
● 若确认文件上传时间是2024年12月及之前，且上传子账号是100032557975(docs_cos_saas)，或20250208之前，上传子账号是100016744855(pcg_docs_drive),则大概率是之前文档漏洞被利用导致，已修复，清理黑产链接即可。
● 若上传时间是2024年12月以后，或上传子账号不是公司文档，则需要拉实际业务子账号负责人排查，具体子账号密钥COS上传相关业务功能。
 

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！