當(dāng)前位置:首頁(yè) >  IDC >  安全 >  正文

網(wǎng)站邏輯漏洞檢測(cè)與修復(fù)實(shí)戰(zhàn)過(guò)程

 2018-12-14 17:13  來(lái)源: 用戶投稿   我來(lái)投稿 撤稿糾錯(cuò)

  域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)

在網(wǎng)站安全的日常安全檢測(cè)當(dāng)中,我們SINE安全公司發(fā)現(xiàn)網(wǎng)站的邏輯漏洞占比也是很高的,前段時(shí)間某酒店網(wǎng)站被爆出存在高危的邏輯漏洞,該漏洞導(dǎo)致酒店的幾億客戶的信息遭泄露,包括手機(jī)號(hào),姓名,地址都被泄露,后續(xù)帶來(lái)的損失很大,最近幾年用戶信息泄露的事件時(shí)有發(fā)生,給很多企業(yè),酒店都上了一堂生動(dòng)的安全課。關(guān)于網(wǎng)站邏輯漏洞的總結(jié),今天跟大家詳細(xì)講解一下。

網(wǎng)站邏輯漏洞

用戶的隱私信息屬于數(shù)據(jù)的保護(hù)的最高級(jí)別,也是最重要的一部分?jǐn)?shù)據(jù),在邏輯漏洞當(dāng)中屬于敏感信息泄露,有些敏感信息還包括了系統(tǒng)的重要信息,比如服務(wù)器的版本linux或者windows的版本,以及網(wǎng)站使用的版本,比如php版本,mysql版本,系統(tǒng)開(kāi)發(fā)的版本,像dedecms,ECShop版本等等的信息都屬于敏感信息的一部分。這些數(shù)據(jù)如果被泄露出去,那么入侵者就會(huì)嘗試多個(gè)方法對(duì)系統(tǒng)進(jìn)行攻擊,獲取到的敏感信息越多,系統(tǒng)受攻擊的程度越大。有一些網(wǎng)站的敏感信息包括客戶的注冊(cè)資料,手機(jī)號(hào),身份證號(hào)碼及掃描件,名字,年月日。這些用戶的資料如果被泄漏直接受危害的就是客戶本身,比如這次酒店客戶資料泄漏事件的發(fā)生,帶來(lái)的危害太大了。

那么邏輯漏洞的產(chǎn)生導(dǎo)致敏感信息泄漏主要的過(guò)程是什么呢?首先通過(guò)用戶資料敏感信息的傳輸過(guò)程,傳輸?shù)骄W(wǎng)站系統(tǒng)里去并展示,網(wǎng)站的前端以及APP客戶端的代碼注釋,再經(jīng)由錯(cuò)誤代碼的安全測(cè)試,都會(huì)導(dǎo)致敏感信息的泄漏。

用戶資料敏感信息是整個(gè)系統(tǒng)當(dāng)中最重要的一部分,打比方,客戶要注冊(cè)一個(gè)網(wǎng)站,首先會(huì)填寫注冊(cè)資料到網(wǎng)站里去,再點(diǎn)擊提交,再客戶提交到服務(wù)器端的時(shí)候,如果網(wǎng)站沒(méi)有加密或者使用SSL證書加密,都會(huì)被攻擊者截取獲取到客戶注冊(cè)資料內(nèi)容,導(dǎo)致用戶敏感信息泄漏。

舉一個(gè)簡(jiǎn)單例子就是某個(gè)網(wǎng)站在修改當(dāng)前用戶密碼的過(guò)程當(dāng)中,我們SINE安全公司對(duì)其進(jìn)行測(cè)試發(fā)現(xiàn)post數(shù)據(jù)里的內(nèi)容竟然都是明文保存的密碼,導(dǎo)致可以被攻擊者獲取到,進(jìn)而盜取用戶賬號(hào)密碼。

一些敏感信息的顯示過(guò)程也會(huì)泄漏信息,很多網(wǎng)站的開(kāi)發(fā)過(guò)程中沒(méi)有對(duì)用戶的賬號(hào)密碼這些信息進(jìn)行加密導(dǎo)致用戶登錄頁(yè)面可以看到明文的代碼。登錄系統(tǒng)查看源代碼就可以看到密碼。這樣也就等于告訴了攻擊者,攻擊者直接登錄了網(wǎng)站的后臺(tái)。如下圖:

網(wǎng)站前端、APP客戶端代碼的注釋導(dǎo)致的泄漏,我們舉個(gè)簡(jiǎn)單的例子,某客戶的網(wǎng)站后臺(tái)管理用戶登錄的頁(yè)面,我們安全檢測(cè)發(fā)現(xiàn)注釋代碼里竟然寫了網(wǎng)站的管理員賬號(hào)密碼,雖然是注釋過(guò)的代碼,但是仔細(xì)一看還是會(huì)發(fā)現(xiàn)問(wèn)題。
網(wǎng)站邏輯漏洞修復(fù)方案

越來(lái)越多的用戶敏感信息泄漏事情的發(fā)生讓我對(duì)于用戶的數(shù)據(jù)安全擔(dān)憂,不得不保護(hù)好網(wǎng)站的安全以及用戶的敏感數(shù)據(jù)。關(guān)于邏輯漏洞的修復(fù)方案,首先從代碼進(jìn)行安全檢測(cè),存儲(chǔ)用戶密碼的地方進(jìn)行嚴(yán)格的過(guò)濾,再一個(gè)就是敏感的信息在傳輸過(guò)程,以及顯示到網(wǎng)站里的時(shí)候都要進(jìn)行加密,MD5加密,數(shù)據(jù)SSL加密傳輸,重要的數(shù)據(jù)盡可能的使用POST的提交方式進(jìn)行,用戶密碼要使用加強(qiáng)的加密方式MD5+特殊編碼的方式進(jìn)行加密,對(duì)于網(wǎng)站的一些報(bào)錯(cuò)頁(yè)面也要禁止掉回顯,網(wǎng)站邏輯漏洞修復(fù),需要很多專業(yè)的知識(shí),也不僅僅是知識(shí),還需要大量的經(jīng)驗(yàn)積累,所以從做網(wǎng)站到維護(hù)網(wǎng)站,維護(hù)服務(wù)器,盡可能找專業(yè)的網(wǎng)站安全公司來(lái)解決問(wèn)題,。

希望以上對(duì)邏輯漏洞的介紹,以及邏輯漏洞的修復(fù)方案能幫到正在需要的你,安全你我他,有多分享,就有多安全。本文來(lái)源:www.sinesafe.com

申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!

相關(guān)文章

熱門排行

信息推薦