商务通真的可能会被截持吗?
本文作者:郭惠 微信公众号:商务通分析
此前常会听到一些“黑客”关于商务通安全的消息,说要对商务通的各项设置仔细排查,以防止商务通被截持,咋一听,就会觉得,确实得好好查查,对于无所不能的“黑客”来说,肯定截持个商务通不是难事,所以得反复查。但停下来仔细分析一下,如果真可能被截持会发生在哪些环节呢?本文中swtlog会从技术的角度,引导大家思考一下关于商务通是否真的有可能被截持的问题,讨论这个问题的目的,在于一方面让我们正确客观认识商务通被截持的可能性的大小,以及在确定可能的环节,我们做好管理防范工作。
1什么叫截持?怎样才算被截持?
通常意义上我们想到的截持概念是网站或者功能代码中被嵌入了别人的代码,然后流量被跳转到别人的网站上去。
如果商务通被截持,按截持的概念也就是点击进来对话的访客流量,会被跳转到别人的网站或者别人的商务通上面去。
那么也就是说,如果访客点击自己的商务通时,莫名跳转到别人的网站或者商务通上面,就说明是被截持了。截持者为做到隐藏性,肯定会做特定的IP判断、COOKIES判断、浏览器判断、时间判断等,保证截持只发生在特定IP地区、特定浏览器环境、特定时间。
典型的例子:商务通官方的医客通,通过判断访客的IP地址,然后将访客引导跳转到加入了医客通联盟的对应地区的医院的商务通,这种实际也是一种“截持”的案例,只是说,这种是医客通客户自己所认可的,流量互换的一种方式。
2商务通截持可能会发生在哪些环节?
1)商务通服务器被入侵
此种情况,在商务通部分服务器出现运维层面的问题,被入侵是可能的,而如果出现软件漏洞,被大规模入侵,也是可能的,但这种入侵如果真发生,很大程度上是短暂的,因为肯定很快会被发现,也不需要用来做截持。商务通不同ID前辍的分布不同服务器,也不太可能同一时间被拿下。除非是软件有0day在别人手上,但那也只会是极小范围,产生的影响也应该会是黑市上,而不会是广泛舆论。
如果商务通服务器被入侵且发生截持行为,那么一定是某些层面的低权限漏洞,即能改设置或代码,但拿不到数据的情况。
以前有一段时间QQ群中广泛流传,商务通服务器被入侵,数据泄露啊啥的,炒得比较热,甚至有人挂上QQ,在新浪上发广告,说收费入侵指定商务通,获取商务通数据。虽然可能性是有,但从事实情况来看,基本是在忽悠概念。
(搜索到的,新浪博客上面别人发的广告)
后来证明,这类所谓的商务通数据泄漏、商务通被入侵,基本都是通过弱密码来实现的。商务通的在线客服列表接口,可以获取到商务通所有的登陆名,然后商务通用户普遍安全意识薄弱,一大堆弱密码,所以也就出现也大量的数据泄漏问题。不过,现在商务通官方在强制修改密码后,一段时间后,终于发现了这个核心问题,武断的,直接把在线客服列表接口给限制了。
2)商务通管理帐号密码泄漏,系统设置被添加截持代码。
这种情况下,是有可能被添加截持代码的。商务通系统后台设置可以添加JS代码的地方:
a.“对话窗口开场白设置”、“快速邀请语设置”:类似设置的地方,虽可以添加JS代码,但由于加入的JS代码是动态插入的,不会直接执行,笔者在测试试图突破动态插入执行时,发现商务通编辑框会有适当的过滤转换。
(实际动态插入,并没有执行跳转)
b.“对话窗口嵌入脚本”:添加的代码直接显示在对话窗口最下方,可被直接执行,通常可用来放统计代码,以实现从访问到点击对话的转化分析(实际在医疗行业,基本没有怎么被使用)。在这里放入的JS代码是可执行的。如果真从这里下手,可放置的代码会有两类,一类是跳转截持类,一类是JS堵塞类。
a)跳转截持类:此类是可以实际跳转的,但是很容易被发现,并且跳转成功率比较低。因为商务通对话窗口在关闭时会有一些弹出确认事件,如果放置了JS跳转代码,跳转代码执行时,的逻辑会是关闭全窗口,访问目标窗口,在这一逻辑下,会弹出是否关闭的提示,用户可能不一定会关闭。当然,实际真发生截持,入侵者,肯定会做IP限制、COOKIES判断等,来绕开管理员或者项目推广人员点击自己商务通时,发现跳转情况。目前为止,这一类,被吹得很厉害,但小编目目前还是没有发现有这样的情况的。如果你有遇到,可以反馈给我。
(后台设置)
(前台点击进入对话时,会弹出关闭窗口)
b)JS堵塞类:当在此处放一个JS代码,而JS代码被墙了或者服务器出故障,请求缓慢时,会导致整个对话窗口代码进行堵塞,访客点击进入对话时,异常缓慢,对话窗口很难打开。这类情况遇见过,不过情况发生的不是在被入侵,而是一些购买第三方抓QQ或手机号的在此处放置代码后,三方服务器挂掉时,影响对应框加载。(由于JS是被添加在窗口的最后面,较多时候,影响也不会太明显,但对于竞价推广来的流量,一点点影响都会是很大影响)。
(后台设置)
(前面代码情况)
结语
仔细分析下来,我们需要关注与重视商务通的安全,但很多时候,其实安全源于基础的管理工作。本文所探讨的角度,虽然没有从很严格的角度去分析商务通服务器本身可能存在的漏洞、商务通软件本身可能存在的BUG及商务通后台各项设置可能存在的存储性XSS漏洞,只单从基本的功能设置做了简单的代码测试,不能表明商务通不存在技术层面的截持,但我们可以看到,商务通还是容易因我们自身的管理问题,而产生被截持的可能的,我们要做的就是做好自身的管理工作,统一做好密码安全意识强调、MAC地址绑定设置等工作,并让技术人员定期排查后台设置项中可能出现的异常代码。
本文《商务通真的可能被截持码?》由商务通分析(swtlog)原创发布,版权所有,谢绝任何形式转载!
====================================
商务通分析(微信号:swtlog)专注网站商务通相关的帮助文档、数据分析、代码分析、安全分析等方面的文章分享,如果感觉您的朋友也会感兴趣,欢迎将swtlog推荐给您的朋友,谢谢!
相关文章
- 网站商务通浮动图标默认参数设置
浮动图标默认参数设置如果你感觉网站商务通的图标不适合你网站,或者你想更换浮动的位置,你可以在系统设置----设置浮动图标参数中进行浮动图标图片的修改或者位置的调整。 操作说明 浮动图标的网址 选择本地文件 选择好本地已经做好的浮动图标,然后上传。
- 离线宝ID的两种获取方法
1、百度推广后台的浏览器URL中 2、登录离线宝(http://lxb.baidu.com/)-样式设置api自定义
- 商务通静态页面跳转代码
PHP跳转的方式固然方便,但受服务器环境限制,在服务器不稳定时,如果禁用PHP,跳转会失效。下面是比较不错的静态跳转方式: 复制代码 代码如下: !DOCTYPE html PUBLIC -//W3C//DTD XHTML 1.0 Transitional//EN http://www.w3.org/TR/xhtml1/DTD/xhtml1-tran
- 网站商务通访客留言介绍
访客留言当所有的客服离线以后,如果有访客请求对话,系统会转到留言界面,当客服再次登录软件时,系统会提示客服有多少条留言没有处理,客服点击访客留言的按钮可以处理留言的信息。 如(图1); 图1 可以对留言进行分类查找,如(图2); 图2 也可以对留言
- 网站商务通无轨迹的一种解决方法
网站商务通无轨迹的一种解决方法,当访客点击 http://www.xxx.com/swt/ 这种链接的形式进入商务通对话窗口的时候,会造成商务通后台轨迹丢失的情况,下面医疗模板库为大家提供一种解决的方案。 复制代码 代码如下: $(function() { $(a[href=/swt/]).click(fu
随机推荐
- 网站商务通浮动图标默认参数设置
浮动图标默认参数设置如果你感觉网站商务通的图标不适合你网站,或者你想更换浮动的位置,你可以在系统设置----设置浮动图标参数中进行浮动图标图片的修改或者位置的调整。 操作说明 浮动图标的网址 选择本地文件 选择好本地已经做好的浮动图标,然后上传。
- 离线宝ID的两种获取方法
1、百度推广后台的浏览器URL中 2、登录离线宝(http://lxb.baidu.com/)-样式设置api自定义
- 商务通静态页面跳转代码
PHP跳转的方式固然方便,但受服务器环境限制,在服务器不稳定时,如果禁用PHP,跳转会失效。下面是比较不错的静态跳转方式: 复制代码 代码如下: !DOCTYPE html PUBLIC -//W3C//DTD XHTML 1.0 Transitional//EN http://www.w3.org/TR/xhtml1/DTD/xhtml1-tran
- 网站商务通访客留言介绍
访客留言当所有的客服离线以后,如果有访客请求对话,系统会转到留言界面,当客服再次登录软件时,系统会提示客服有多少条留言没有处理,客服点击访客留言的按钮可以处理留言的信息。 如(图1); 图1 可以对留言进行分类查找,如(图2); 图2 也可以对留言
- 网站商务通无轨迹的一种解决方法
网站商务通无轨迹的一种解决方法,当访客点击 http://www.xxx.com/swt/ 这种链接的形式进入商务通对话窗口的时候,会造成商务通后台轨迹丢失的情况,下面医疗模板库为大家提供一种解决的方案。 复制代码 代码如下: $(function() { $(a[href=/swt/]).click(fu