網站漏洞檢測對漏洞檢測修復方案

在網站安全的日常安全檢測當中，我們SINE安全公司發現網站的邏輯漏洞佔比也是很高的，前段時間某酒店網站被爆出存在高危的邏輯漏洞，該漏洞導致酒店的幾億客戶的資訊遭洩露，包括手機號，姓名，地址都被洩露，後續帶來的損失很大，最近幾年使用者資訊洩露的事件時有發生，給很多企業，酒店都上了一堂生動的安全課。關於網站邏輯漏洞的總結，今天跟大家詳細講解一下。

網站邏輯漏洞

使用者的隱私資訊屬於資料的保護的最高階別，也是最重要的一部分資料，在邏輯漏洞當中屬於敏感資訊洩露，有些敏感資訊還包括了系統的重要資訊，比如伺服器的版本linux或者windows的版本，以及網站使用的版本，比如php版本，mysql版本，系統開發的版本，像dedecms,ECShop版本等等的資訊都屬於敏感資訊的一部分。這些資料如果被洩露出去，那麼入侵者就會嘗試多個方法對系統進行攻擊，獲取到的敏感資訊越多，系統受攻擊的程度越大。有一些網站的敏感資訊包括客戶的註冊資料，手機號，身份證號碼及掃描件，名字，年月日。這些使用者的資料如果被洩漏直接受危害的就是客戶本身，比如這次酒店客戶資料洩漏事件的發生，帶來的危害太大了。

那麼邏輯漏洞的產生導致敏感資訊洩漏主要的過程是什麼呢？首先通過使用者資料敏感資訊的傳輸過程，傳輸到網站系統裡去並展示，網站的前端以及APP客戶端的程式碼註釋，再經由錯誤程式碼的安全測試，都會導致敏感資訊的洩漏。

使用者資料敏感資訊是整個系統當中最重要的一部分，打比方，客戶要註冊一個網站，首先會填寫註冊資料到網站裡去，再點選提交，再客戶提交到伺服器端的時候，如果網站沒有加密或者使用SSL證照加密，都會被攻擊者擷取獲取到客戶註冊資料內容，導致使用者敏感資訊洩漏。

舉一個簡單例子就是某個網站在修改當前使用者密碼的過程當中，我們SINE安全公司對其進行測試發現post資料裡的內容竟然都是明文儲存的密碼，導致可以被攻擊者獲取到，進而盜取使用者賬號密碼。

一些敏感資訊的顯示過程也會洩漏資訊，很多網站的開發過程中沒有對使用者的賬號密碼這些資訊進行加密導致使用者登入頁面可以看到明文的程式碼。登入系統檢視原始碼就可以看到密碼。這樣也就等於告訴了攻擊者，攻擊者直接登入了網站的後臺。如下圖：

網站前端、APP客戶端程式碼的註釋導致的洩漏，我們舉個簡單的例子，某客戶的網站後臺管理使用者登入的頁面，我們安全檢測發現註釋程式碼裡竟然寫了網站的管理員賬號密碼，雖然是註釋過的程式碼，但是仔細一看還是會發現問題。

網站邏輯漏洞修復方案

越來越多的使用者敏感資訊洩漏事情的發生讓我對於使用者的資料安全擔憂，不得不保護好網站的安全以及使用者的敏感資料。關於邏輯漏洞的修復方案，首先從程式碼進行安全檢測，儲存使用者密碼的地方進行嚴格的過濾，再一個就是敏感的資訊在傳輸過程，以及顯示到網站裡的時候都要進行加密，MD5加密，資料SSL加密傳輸，重要的資料儘可能的使用POST的提交方式進行，使用者密碼要使用加強的加密方式MD5+特殊編碼的方式進行加密，對於網站的一些報錯頁面也要禁止掉回顯，網站邏輯漏洞修復，需要很多專業的知識，也不僅僅是知識，還需要大量的經驗積累，所以從做網站到維護網站，維護伺服器，儘可能找專業的網站安全公司來解決問題，國內也就Sinesafe和綠盟、啟明星辰等安全公司比較專業.

希望以上對邏輯漏洞的介紹，以及邏輯漏洞的修復方案能幫到正在需要的你，安全你我他，有多分享，就有多安全。