在这期间，客户的网站受到攻击，客户找到了公司，公司找到了我，所以有了这次紧急应对，第一次做，记录了整个过程。

一、做什么

起初，我不知道该做什么。我很困惑。通过老板的教导，我总结了以下个人认为非常重要的要点。事件核实，发生了什么，什么时候，是不是紧急，影响程度等。明确攻击动因，别人为何攻击我们？核实攻击手段，利用哪些漏洞进行攻击，我们的app是不是有高危漏洞，是某个中间部件，还是其他攻击手段，制定解决方案，包括临时解决方案和最终解决方案。临时解决方案为了快速应对问题，最终解决方案为了彻底解决问题。跟踪，尽可能明确攻击者的身份。形成书面安全报告，说明事件原因的结果，说明事件的责任归属。有了上面的指导，就可以第一次应急响应了。

1.事件的核实

客户向公司投诉收到大量邮件认证代码，登录服务器发现大量邮件认证代码的请求。红色标记是失败的次数，非常多，可以核实有人利用邮件认证代码接口进行攻击。

2.攻击动因

因为是大量的邮件认证代码，攻击动因有两种。(1)有人瞄准我们的客户，恶意消耗我们的资源(但我们的客户是公安)，所以可能性很低。(2)我们的服务器被利用，有人利用服务器攻击特定的人，我们只是其中之一。因而，短信验证码轰炸平台很有可能利用了我们的资源。后面打电话给投诉用户，投诉的人告诉我们，他收到了很多平台的邮件验证码，同事也收到了。（可以明确是短信验证码轰炸）

3.攻击点的分析

首先，开发决定了哪个接口可以发送邮件认证代码，可以发送邮件认证代码的有3个。通过开发，我们的应用程序明确了每个用户每天只能发送10条，每个IP可以发送100条。因而，我们首先自己的机制是不是有效，决定邮件的认证代码机制是不是有效，这里没有安全问题。因而，我继续检查我们的注册接口，发现获得邮件认证代码不需要输入图像认证代码。如下图所示，可以直接请求邮件认证代码，引起大量爆破。从这里可以看出是我们产品的问题，好产品在获得邮件认证码之前需要手动认证防止爆破。