在這篇文章中我將詳細介紹如何繞過防火牆,進入CDE(持卡人數據環境,代表存儲、處理和傳輸支付卡敏感數據的計算機環境),最終提取信用卡數據。
一般來說,如果你要存儲、傳輸或處理支付卡數據,那麼就必須要確保支付卡數據在你的內部網路中保持高度安全,內部網路環境必須符合PCI數據安全標準(PCI-DSS)。當然,如果你的內部網路進行了分段,則不必讓整個內部網路都符合PCI規範,只需讓分段出的處理支付卡數據的環境符合PCI數據安全標準。而分段,即隔離出CDE,通常是利用防火牆來實現的。
以上就是有關此次滲透測試的一些背景,現在讓我們正式開始吧。
注意,文中所有敏感信息都已修改,與真實數據相差甚遠。目標公司擁有一個非常龐大的內部網路,所有IP都在10.0.0.0/8
範圍內。而持卡人數據位於單獨的192.168.0.0/16
範圍內,與公司其他部門隔離。對CDE的操作主要由呼叫中心的操作員在接聽客戶電話後,在外部的Web應用中將資金細節輸入表格再提交。
讓我們從普通的內部環境開始,在10.0.0.0/8
的範圍內連接到公司的內部辦公網路,然後我們使用ping和埠掃描從當時網路位置掃描整個CDE,結果如下: