網站漏洞檢測對漏洞檢測修復方案
在網站安全的日常安全檢測當中,我們SINE安全公司發現網站的邏輯漏洞佔比也是很高的,前段時間某酒店網站被爆出存在高危的邏輯漏洞,該漏洞導致酒店的幾億客戶的資訊遭洩露,包括手機號,姓名,地址都被洩露,後續帶來的損失很大,最近幾年使用者資訊洩露的事件時有發生,給很多企業,酒店都上了一堂生動的安全課。關於網站邏輯漏洞的總結,今天跟大家詳細講解一下。
網站邏輯漏洞
使用者的隱私資訊屬於資料的保護的最高階別,也是最重要的一部分資料,在邏輯漏洞當中屬於敏感資訊洩露,有些敏感資訊還包括了系統的重要資訊,比如伺服器的版本linux或者windows的版本,以及網站使用的版本,比如php版本,mysql版本,系統開發的版本,像dedecms,ECShop版本等等的資訊都屬於敏感資訊的一部分。這些資料如果被洩露出去,那麼入侵者就會嘗試多個方法對系統進行攻擊,獲取到的敏感資訊越多,系統受攻擊的程度越大。有一些網站的敏感資訊包括客戶的註冊資料,手機號,身份證號碼及掃描件,名字,年月日。這些使用者的資料如果被洩漏直接受危害的就是客戶本身,比如這次酒店客戶資料洩漏事件的發生,帶來的危害太大了。
那麼邏輯漏洞的產生導致敏感資訊洩漏主要的過程是什麼呢?首先通過使用者資料敏感資訊的傳輸過程,傳輸到網站系統裡去並展示,網站的前端以及APP客戶端的程式碼註釋,再經由錯誤程式碼的安全測試,都會導致敏感資訊的洩漏。
使用者資料敏感資訊是整個系統當中最重要的一部分,打比方,客戶要註冊一個網站,首先會填寫註冊資料到網站裡去,再點選提交,再客戶提交到伺服器端的時候,如果網站沒有加密或者使用SSL證照加密,都會被攻擊者擷取獲取到客戶註冊資料內容,導致使用者敏感資訊洩漏。
舉一個簡單例子就是某個網站在修改當前使用者密碼的過程當中,我們SINE安全公司對其進行測試發現post資料裡的內容竟然都是明文儲存的密碼,導致可以被攻擊者獲取到,進而盜取使用者賬號密碼。
一些敏感資訊的顯示過程也會洩漏資訊,很多網站的開發過程中沒有對使用者的賬號密碼這些資訊進行加密導致使用者登入頁面可以看到明文的程式碼。登入系統檢視原始碼就可以看到密碼。這樣也就等於告訴了攻擊者,攻擊者直接登入了網站的後臺。如下圖:
網站前端、APP客戶端程式碼的註釋導致的洩漏,我們舉個簡單的例子,某客戶的網站後臺管理使用者登入的頁面,我們安全檢測發現註釋程式碼裡竟然寫了網站的管理員賬號密碼,雖然是註釋過的程式碼,但是仔細一看還是會發現問題。
網站邏輯漏洞修復方案
越來越多的使用者敏感資訊洩漏事情的發生讓我對於使用者的資料安全擔憂,不得不保護好網站的安全以及使用者的敏感資料。關於邏輯漏洞的修復方案,首先從程式碼進行安全檢測,儲存使用者密碼的地方進行嚴格的過濾,再一個就是敏感的資訊在傳輸過程,以及顯示到網站裡的時候都要進行加密,MD5加密,資料SSL加密傳輸,重要的資料儘可能的使用POST的提交方式進行,使用者密碼要使用加強的加密方式MD5+特殊編碼的方式進行加密,對於網站的一些報錯頁面也要禁止掉回顯,網站邏輯漏洞修復,需要很多專業的知識,也不僅僅是知識,還需要大量的經驗積累,所以從做網站到維護網站,維護伺服器,儘可能找專業的網站安全公司來解決問題,國內也就Sinesafe和綠盟、啟明星辰等安全公司比較專業.
希望以上對邏輯漏洞的介紹,以及邏輯漏洞的修復方案能幫到正在需要的你,安全你我他,有多分享,就有多安全。
相關文章
- 網站漏洞檢測 wordpress sql注入漏洞程式碼審計與修復網站SQL
- 滲透測試對網站漏洞修復執行命令重點檢查網站
- 網站漏洞檢測 滲透測試檢測手法網站
- 對泛微OA系統的網站安全檢測以及漏洞修復辦法網站
- 靜態程式碼檢測工具Wukong對log4J中的漏洞檢測、分析及漏洞修復
- 滲透測試對檔案包含漏洞網站檢測網站
- 如何對網站登入進行漏洞測試以及漏洞修復網站
- 網站漏洞檢測解析繞過上傳漏洞網站
- 網站滲透測試安全檢測漏洞網站
- 滲透測試公司 對於越權漏洞的檢測與修復
- 網站漏洞檢測工具對CSRF攻擊詳情網站
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- WordPress網站漏洞利用及漏洞修復解決方案網站
- Bash漏洞檢測及解決方案
- 2019年網站漏洞檢測報告安全分析網站
- 網站漏洞測試php程式碼修復詳情網站PHP
- 滲透測試網站安全漏洞檢測大體方法網站
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- struts2架構網站漏洞修復詳情與利用漏洞修復方案架構網站
- 網站漏洞檢測 squid反向代理存在遠端程式碼執行漏洞網站UI
- PrestaShop網站漏洞修復如何修復REST網站
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- CMS漏洞檢測工具 – CMSmap
- 漏洞型別及檢測型別
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- 網站漏洞滲透測試覆盤檢查結果分析網站
- 網站滲透測試安全檢測方案網站
- thinkcmf 網站最新漏洞修復方法網站
- 漏洞檢測的那些事兒
- 開源漏洞檢測框架收集框架
- 網站漏洞修復之Metinfo 檔案上傳漏洞網站
- 網站被攻擊 如何修復網站漏洞網站
- 如何掃描網站漏洞 針對於海洋CMS的漏洞檢查分析網站
- 網站漏洞修復之圖片驗證碼的詳細修復方案網站
- APP網站安全漏洞檢測服務的詳細介紹APP網站
- 批次網站DNS區域傳送漏洞檢測——bash shell實現網站DNS
- 如何檢測網站的安全漏洞?常見方法是什麼?網站
- 網站漏洞修復服務商對繞過認證漏洞的探討網站