Accesso non autorizzato all'area di amministrazione di un'app per rails, dall'IP aziendale

3

Come azienda, abbiamo un'applicazione di binari con un pannello di amministrazione, che utilizza l'admin gem attivo. Se l'utente ha il ruolo di amministratore, viene visualizzato un collegamento alla pagina di amministrazione. Ieri, qualcuno è entrato nel pannello di amministrazione e ha cambiato uno stato in un progetto, oltre a lasciare un messaggio. Sono andato al file di log di accesso di Apache e ho guardato l'ora in cui è stata fatta la richiesta. È interessante notare che l'IP che ha reso la richiesta era l'IP dell'azienda. Significa che si tratta di qualcuno dall'interno dell'azienda?

Come informazione aggiuntiva, se qualcuno mette l'url del pannello di amministrazione direttamente sul browser, non gli è permesso di entrare se non ha effettuato l'accesso come utente con il ruolo di amministratore.

Quali sono i possibili casi?

    
posta kiriakosv 24.11.2016 - 13:05
fonte

1 risposta

2

Per quanto riguarda l'indirizzo IP registrato nel tuo log di apache, ci sono un certo numero di possibilità che non indicano necessariamente che proviene da qualche parte all'interno della tua rete.

In primo luogo, se un utente malintenzionato esterno ha il controllo completo del server, è possibile che possano falsificare le voci del registro. In secondo luogo, se un utente malintenzionato ha il controllo di un PC locale, potrebbe utilizzarlo per farlo sembrare un attacco interno. Finalmente come fai a sapere chi era sul PC locale in quel momento?

L'attribuzione reale è difficile e, di conseguenza, avrai bisogno di più prove per determinare cosa sia realmente accaduto. Se disponi di altri registri del traffico di rete sincronizzati in tempo, potresti iniziare a creare un'immagine di ciò che stava accadendo al momento dell'attacco.

    
risposta data 24.11.2016 - 14:14
fonte

Leggi altre domande sui tag