如何對網站登入進行漏洞測試以及漏洞修復

從業滲透測試服務已經有十幾年了，在對客戶網站進行漏洞檢測，安全滲透時，尤其網站使用者登入功能上發現的漏洞很多，想總結一下在滲透測試過程中，網站登入功能上都存在哪些網站安全隱患，下面就有請我們SINE安全的工程師老陳來給大家總結一下，讓大家都有更好的瞭解網站，在對自己網站進行開發的過程中，尤其使用者登入功能上做好網站安全防護，防止網站被攻擊。

網站登入有安全驗證與效驗，從分支上又可以分出其他程式碼功能，包括使用者註冊，忘記密碼，使用者登入框，修改密碼，驗證碼（圖片以及簡訊驗證碼，郵箱驗證碼等功能），使用者登入資訊保安提示，密碼錯誤還是輸入的賬號不對，以及賬號頻繁登入的鎖定安全機制功能，大大小小的功能組成了網站的登入功能。那麼我們SINE安全在對客戶網站進行滲透測試服務的時候，在網站登入功能裡到底發現那些致命的漏洞？下面我們來詳細的舉例說明：

第一我們從最簡單的一個使用者登入框上來說，很多客戶網站並沒有對使用者前端輸入的引數值進行安全過濾，導致賬戶名字與密碼裡可以插入惡意的引數值，導致SQL隱碼攻擊漏洞的發生，再一個就是使用萬能的密碼進行登入，可以繞過資料庫，直接登入網站。SINE安全是如何幫使用者修復這個SQL隱碼攻擊漏洞呢？針對SQL隱碼攻擊的修復辦法是：對使用者登入的賬號密碼欄位的引數值進行預編譯，不允許特殊字元的輸入與傳輸，在程式碼裡寫入get,post,cookies提交方式的安全攔截，發現惡意的字元包括<,>,\,/,，,",select,update,@,等等進行攔截，並返回錯誤提示，對特定的sql語句在程式碼裡進行預編譯，禁止多餘的引數插入到賬號與密碼欄位中。

使用者ID與密碼被暴力破解，很多客戶網站並沒有對網站的登入進行安全判斷，導致攻擊者可以隨意的對其進行任意的賬號密碼嘗試登入，有些甚至有密碼字典，可以不斷去猜解使用者的ID與密碼，導致網站使用者被惡意登入，資料惡意篡改等情況發生。對這種滲透中發現的漏洞我們SINE安全的修復辦法是：增加驗證碼功能（圖片驗證碼，或者是簡訊驗證碼），每次登入都必須輸入對的驗證碼，如果驗證碼不對那就不允許登入，也可以將驗證碼做時間的限制，30秒才能重新獲取。 再一個對使用者ID輸入錯誤的提示，可以混淆攻擊者的視線，提示是密碼錯誤。在使用者登入次數達到6次以上直接鎖定該賬戶的登入。

XSS跨站攻擊漏洞也會在使用者登入框中發生，比較常見的就是使用者名稱的引數值中，有些客戶網站沒有對XSS惡意程式碼進行安全效驗，導致可以輸入錯誤的賬號進行登入，當錯誤登入的時候，後臺有可能會有錯誤的使用者登入記錄，包括post資料包裡網站來源都會插入XSS攻擊程式碼，導致管理員在檢視使用者登入錯誤日誌的時候觸發XSS漏洞。XSS跨站漏洞可以獲取使用者的cookies值，以及網站後臺的地址，並可以將瀏覽器開啟後臺進行截圖等功能，如何修復XSS跨站漏洞？對get,post,cookies的提交方式進行安全過濾，攔截掉<,>，,img,"",等字元。

任意使用者註冊漏洞也會在網站登入功能上發生，可以用來猜測網站是否有註冊過該使用者名稱，進行批量的暴力列舉。對註冊使用的驗證碼進行繞過，使用正確的簡訊驗證碼提交註冊即可繞過註冊，手機以及郵箱的驗證碼過於太短，導致暴力破解，針對於這樣的網站漏洞我們SINE安全的修復建議是對驗證碼和註冊資訊進行同步請求，對驗證碼進行驗證是否正確，然後再來確定註冊的資訊是否與驗證碼是一體的。

還有很多網站功能在滲透測試過程中出現的漏洞，這裡總結的是上部分，下一部分我們將會在下一篇文章中跟大家揭曉，也希望這些的滲透測試分享能讓大家對網站的安全有所瞭解，只有真正的瞭解了自己的網站，才能把安全做好，知彼知己百戰不殆。在網站上線以及發生安全問題後，一定要做滲透測試服務，提前檢測網站存在的漏洞，以及模擬攻擊者的手法去查詢漏洞根源，防患於未然,國內做的比較專業網站滲透測試公司推薦Sinesafe,綠盟,啟明星辰等等專業的安全公司都是比較不錯的。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/31542418/viewspace-2665498/，如需轉載，請註明出處，否則將追究法律責任。