滲透測試中網(wǎng)站登錄接口的漏洞測試分享

時(shí)間：2020-03-20作者：青島四海通達(dá)電子科技有限公司瀏覽：1241

從業(yè)滲透測試服務(wù)已經(jīng)有十幾年了，在對(duì)客戶網(wǎng)站進(jìn)行漏洞檢測，安全滲透時(shí)，尤其網(wǎng)站用戶登錄功能上發(fā)現(xiàn)的漏洞很多，想總結(jié)一下在滲透測試過程中，網(wǎng)站登錄功能上都存在哪些網(wǎng)站安全隱患，下面就有請(qǐng)我們SINE安全的工程師老陳來給大家總結(jié)一下，讓大家都有較好的了解網(wǎng)站，在對(duì)自己網(wǎng)站進(jìn)行開發(fā)的過程中，尤其用戶登錄功能上做好網(wǎng)站安全防護(hù)，防止網(wǎng)站被攻擊。

網(wǎng)站登錄有安全驗(yàn)證與效驗(yàn)，從分支上又可以分出其他代碼功能，包括用戶注冊(cè)，忘記密碼，用戶登錄框，修改密碼，驗(yàn)證碼（圖片以及短信驗(yàn)證碼，郵箱驗(yàn)證碼等功能），用戶登錄信息安全提示，密碼錯(cuò)誤還是輸入的賬號(hào)不對(duì)，以及賬號(hào)頻繁登錄的鎖定安全機(jī)制功能，大大小小的功能組成了網(wǎng)站的登錄功能。那么我們SINE安全在對(duì)客戶網(wǎng)站進(jìn)行滲透測試服務(wù)的時(shí)候，在網(wǎng)站登錄功能里到底發(fā)現(xiàn)那些致命的漏洞？下面我們來詳細(xì)的舉例說明：

**我們從較簡單的一個(gè)用戶登錄框上來說，很多客戶網(wǎng)站并沒有對(duì)用戶**輸入的參數(shù)值進(jìn)行安全過濾，導(dǎo)致賬戶名字與密碼里可以插入惡意的參數(shù)值，導(dǎo)致SQL注入漏洞的發(fā)生，再一個(gè)就是使用**的密碼進(jìn)行登錄，可以繞過數(shù)據(jù)庫，直接登錄網(wǎng)站。SINE安全是如何幫用戶修復(fù)這個(gè)SQL注入漏洞呢？針對(duì)SQL注入的修復(fù)辦法是：對(duì)用戶登錄的賬號(hào)密碼字段的參數(shù)值進(jìn)行預(yù)編譯，不允許特殊字符的輸入與傳輸，在代碼里寫入get,post,cookies提交方式的安全攔截，發(fā)現(xiàn)惡意的字符包括<,>,\,/,，,",select,update,@,等等進(jìn)行攔截，并返回錯(cuò)誤提示，對(duì)特定的sql語句在代碼里進(jìn)行預(yù)編譯，禁止多余的參數(shù)插入到賬號(hào)與密碼字段中。

用戶ID與密碼被暴力破解，很多客戶網(wǎng)站并沒有對(duì)網(wǎng)站的登錄進(jìn)行安全判斷，導(dǎo)致攻擊者可以隨意的對(duì)其進(jìn)行任意的賬號(hào)密碼嘗試登錄，有些甚至有密碼字典，可以不斷去猜解用戶的ID與密碼，導(dǎo)致網(wǎng)站用戶被惡意登錄，資料惡意篡改等情況發(fā)生。對(duì)這種滲透中發(fā)現(xiàn)的漏洞我們SINE安全的修復(fù)辦法是：增加驗(yàn)證碼功能（圖片驗(yàn)證碼，或者是短信驗(yàn)證碼），每次登錄都必須輸入對(duì)的驗(yàn)證碼，如果驗(yàn)證碼不對(duì)那就不允許登錄，也可以將驗(yàn)證碼做時(shí)間的限制，30秒才能重新獲取。 再一個(gè)對(duì)用戶ID輸入錯(cuò)誤的提示，可以混淆攻擊者的視線，提示是密碼錯(cuò)誤。在用戶登錄次數(shù)達(dá)到6次以上直接鎖定該賬戶的登錄。

XSS跨站攻擊漏洞也會(huì)在用戶登錄框中發(fā)生，比較常見的就是用戶名的參數(shù)值中，有些客戶網(wǎng)站沒有對(duì)XSS惡意代碼進(jìn)行安**驗(yàn)，導(dǎo)致可以輸入錯(cuò)誤的賬號(hào)進(jìn)行登錄，當(dāng)錯(cuò)誤登錄的時(shí)候，后臺(tái)有可能會(huì)有錯(cuò)誤的用戶登錄記錄，包括post數(shù)據(jù)包里網(wǎng)站來源都會(huì)插入XSS攻擊代碼，導(dǎo)致管理員在查看用戶登錄錯(cuò)誤日志的時(shí)候觸發(fā)XSS漏洞。XSS跨站漏洞可以獲取用戶的cookies值，以及網(wǎng)站后臺(tái)的地址，并可以將瀏覽器打開后臺(tái)進(jìn)行截圖等功能，如何修復(fù)XSS跨站漏洞？對(duì)get,post,cookies的提交方式進(jìn)行安全過濾，攔截掉<,>，,img,"",等字符。

任意用戶注冊(cè)漏洞也會(huì)在網(wǎng)站登錄功能上發(fā)生，可以用來猜測網(wǎng)站是否有注冊(cè)過該用戶名，進(jìn)行批量的暴力枚舉。對(duì)注冊(cè)使用的驗(yàn)證碼進(jìn)行繞過，使用正確的短信驗(yàn)證碼提交注冊(cè)即可繞過注冊(cè)，手機(jī)以及郵箱的驗(yàn)證碼過于太短，導(dǎo)致暴力破解，針對(duì)于這樣的網(wǎng)站漏洞我們SINE安全的修復(fù)建議是對(duì)驗(yàn)證碼和注冊(cè)信息進(jìn)行同步請(qǐng)求，對(duì)驗(yàn)證碼進(jìn)行驗(yàn)證是否正確，然后再來確定注冊(cè)的信息是否與驗(yàn)證碼是一體的。

還有很多網(wǎng)站功能在滲透測試過程中出現(xiàn)的漏洞，這里總結(jié)的是上部分，下一部分我們將會(huì)在下一篇文章中跟大家揭曉，也希望這些的滲透測試分享能讓大家對(duì)網(wǎng)站的安全有所了解，只有真正的了解了自己的網(wǎng)站，才能把安全做好，知彼知己百戰(zhàn)不殆。在網(wǎng)站上線以及發(fā)生安全問題后，一定要做滲透測試服務(wù)，提前檢測網(wǎng)站存在的漏洞，以及模擬攻擊者的手法去查找漏洞根源，防患于未然,國內(nèi)做的比較專業(yè)網(wǎng)站滲透測試公司推薦Sinesafe,綠盟,啟**辰等等專業(yè)的安全公司都是比較不錯(cuò)的。


青島四海通達(dá)電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護(hù),網(wǎng)站漏洞檢測,滲透測試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 網(wǎng)站安全防護(hù)方案有哪些？

  如今，在數(shù)字化發(fā)展的時(shí)代，網(wǎng)站安全防護(hù)不僅是各種*型網(wǎng)站應(yīng)該關(guān)注的問題，也是許多中小型網(wǎng)站不可避免地會(huì)受到各種不安全因素的影響。據(jù)不完全統(tǒng)計(jì)，95%以上的網(wǎng)站受到黑客攻擊，90%以上的網(wǎng)站存在嚴(yán)重的網(wǎng)站安全問題。雖然網(wǎng)絡(luò)安全開發(fā)商越來越多，網(wǎng)站安全產(chǎn)品層出不窮，但在創(chuàng)圖安全技術(shù)團(tuán)隊(duì)模擬黑客攻擊反饋后，目前的產(chǎn)品無法從根本上保護(hù)網(wǎng)站安全。由于網(wǎng)站安全的復(fù)雜性和安全防護(hù)的復(fù)雜性，僅僅依靠單一的產(chǎn)品或

• api接口安全漏洞檢測測試過程

  某一客戶的網(wǎng)站,以及APP系統(tǒng)數(shù)據(jù)被篡改,金額被提現(xiàn),導(dǎo)致?lián)p失慘重,漏洞無從下手,經(jīng)過朋友介紹找到我們SINE安全公司,我們隨即對(duì)客戶的網(wǎng)站服務(wù)器情況進(jìn)行大體了解.建議客戶做滲透測試服務(wù).模擬攻擊者的手法對(duì)網(wǎng)站存在的數(shù)據(jù)篡改漏洞進(jìn)行檢測與挖掘,就此滲透測試服務(wù)的過程進(jìn)行記錄與分享.首先客戶網(wǎng)站和APP的開發(fā)語言都是使用的PHP架構(gòu)開發(fā),后端使用的thinkphp開源系統(tǒng),對(duì)會(huì)員進(jìn)行管理以及資料的統(tǒng)

• 網(wǎng)站漏洞掃描器與安全測試工具的使用功能分析

  關(guān)于網(wǎng)站漏洞掃描器的使用步驟，大家基本上都是按照以下方法去使用：輸入網(wǎng)站地址->啟動(dòng)網(wǎng)站漏洞掃描引擎->檢測漏洞的風(fēng)險(xiǎn)程度->輸出網(wǎng)站安全報(bào)告,是否能得到這樣的理論依據(jù)：同一款漏洞掃描工具，掃描出來的結(jié)果應(yīng)該一樣?但是，實(shí)際上，現(xiàn)實(shí)中是否常出現(xiàn)：對(duì)于同一款掃描器，A說實(shí)際效果非常不錯(cuò)，發(fā)現(xiàn)了真實(shí)可利用的SQL注入漏洞，B卻說特別差，全是一些無足輕重的低危漏洞。甚至可能還有這樣的兩

• 蘋果CMS掛馬解決處理過程的文章

  目前蘋果CMS官方在不斷的升級(jí)補(bǔ)丁，官方較新的漏洞補(bǔ)丁對(duì)于目前爆發(fā)的新漏洞沒有任何效果。較新補(bǔ)丁的用戶網(wǎng)站還是會(huì)遭受到掛馬的攻擊，很多客戶因此找到我們SINE安全尋求網(wǎng)站安全技術(shù)上的支持，針對(duì)該漏洞我們有著*特的安全解決方案以及防止掛馬攻擊的防護(hù)，包括一些未公開的maccms POC漏洞都有修復(fù)補(bǔ)丁。目前maccms官方被百度網(wǎng)址安全中心提醒您：該站點(diǎn)可能受到黑客攻擊，部分頁面已被非法篡改！ 蘋果