当前位置:首页 >  站长 >  建站经验 >  正文

网站漏洞修复对CSRF攻击详情

 2019-05-21 10:25  来源:A5用户投稿  我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

六一儿童节快到了,最近出了太多太多的漏洞,像前几天被爆出的cve-2019-0708漏洞,利用的是windows服务器远程桌面rdp协议进行的攻击,今天来给大家送一个礼物是关于网站方面的,jsonp漏洞可以导致csrf网站攻击。很多人会把jsonp跟json当成是一个东西,但真实情况不是这样的,先来介绍一下什么是jsonp,简单来讲就是一个可以解决网站跨域请求访问的一个语言,可以帮助网站跨域的去请求参数,使数据之间同步,很好的解决不同网站之间的通信问题。关于网站漏洞的JSONP劫持漏洞,我们来详细的分析看下。一般网站在设计功能过程加入jsonp实例代码,比如下面这一段,图1:

使用的是php语言开发的,很简单的一个第三方jsonp接口,返回用户名和密码,当get请求的时候就会返回我们需要的值,如果我们对callback值进行修改的时候,返回的值也会有所改变,那么这里就可以被我们利用,修改成恶意的代码,来欺骗用户点击,从而向服务器端里的json接口进行请求,当用户输入账号密码等信息的时候就已经不知不觉的提交到了攻击者的网站里,用户密码被泄露。如下图:

JSONP漏洞应该算是属于csrf攻击,诱导用户点击并获取用户的账号密码等敏感信息,CSRF攻击还远远不止光可以获取用户的账号密码,还是做其他攻击用途,我们在日常的安全检测当中还遇到过csrf防护使用了token动态值,使用token可以大大的防止csrf攻击的发生,但是我们可以绕过该token防护,具体该怎么绕过呢?

在网站的整个用户提交表单中我们发现有些token值被隐藏了,那么我们可以直接伪造代码,通过jsonp的提交方式来获取整个表单的内容,并将其中的token值获取出来,填充到我们构造的表单中,完成csrf攻击。

网站漏洞修复建议:

对调用到的json文件以及接口进行安全限制,判断用户来路Referer,对所有的用户请求设置token,统一值,对json格式的输出编码设置为utf8,对callbak回调参数以及json的数据通信严格的把控,jsonp请求与返回的值进行长度检查,对一些特殊字符尤其csrf攻击字符进行过滤,比如*&#斜杠等等的字符,如果对代码不熟悉的话建议联系专业的网站安全公司或网站漏洞修复公司来处理解决。

作者: websafe    /    文章:63篇

相关标签
漏洞
网站漏洞检测

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • wordpress漏洞修复方案之第三方插件漏洞

    wordpress系统本身代码,很少出现sql注入漏洞,反倒是第三方的插件出现太多太多的漏洞,我们SINE安全发现,仅仅2019年9月份就出现8个插件漏洞,因为第三方开发的插件,技术都参差不齐,对安全方面也不是太懂导致写代码过程中没有对sql注入,以及xss跨站进行前端安全过滤,才导致发生sql注入

  • 网站漏洞检测 CSRF代码攻击与加固方案

    XSS跨站以及CSRF攻击,在目前的渗透测试,以及网站漏洞检测中,经常的被爆出有高危漏洞,我们SINE安全公司在对客户网站进行渗透测试时,也常有的发现客户网站以及APP存在以上的漏洞,其实CSRF以及XSS跨站很容易被发现以及利用,在收集客户网站域名,以及其他信息的时候,大体的注意一些请求操作,前端

    标签:
    网站漏洞检测
  • 网站漏洞检测 squid反向代理存在远程代码执行漏洞

    在对网站进行渗透测试的时候,发现很多网站都在使用squid反向代理系统,该系统存在可以执行远程代码的漏洞,很多客户找我们SINE安全做渗透测试服务的同时,我们会先对客户的网站进行信息搜集工作,包括域名,二级域名收集,网站使用的反向代理系统,网站程序开发语言,是否使用开源的代码,以及网站后台路径收集,

  • 如何修复网站漏洞 全局变量覆盖漏洞的修复方式

    临近9月底,seacms官方升级海洋cms系统到9.95版本,我们SINE安全在对其源码进行网站漏洞检测的时候发现问题,可导致全局变量被覆盖,后台可以存在越权漏洞并绕过后台安全检测直接登录管理员账号。关于该漏洞的具体详情,我们来详细的分析一下

    标签:
    网站漏洞检测
  • 9.8分超高危IBM OpenJ9漏洞预警

    OpenJ9是IBM自1997年以来一直主推的高性能JVM产品,是IBMJava产品中的核心组件。几乎所有IBM成熟产品都依赖于OpenJ9,仅IBM自主产品就有419个产品受到此漏洞影响具体列表请见下面的链接。不仅IBM全线产品依赖OpenJ9,由于2017年OpenJ9开源,无数追求性能的第三方

    标签:
    漏洞
  • 一个小白影视站长的成长推广经历

    视频网站及抖音快手推广,可以通过视频剪辑的方式上传一些视频,到酷6,土豆,优酷,抖音,快手,上传视频都印上网站的LOGO或导入公众号。通过这样的方式也会为网站带来不少流量。

  • 电商时代,企业搭建商城系统的优势有哪些

    通过网上商城,消费者足不出户,即可轻松享受从产品咨询、下单、付款到收货的一站式客户体验。为了增强电商平台的互动性,独立商城系统还可以提供在线咨询、电话咨询与网络留言三种互动途径,消费者可以自由选择适合自己的方式与专职客服人员进行交流,互动性得到了显著提高。

    标签:
    商城系统
  • 建站CMS系统:织梦dedeCms、PageAdmin、帝国优缺点比较

    之前一直使用dedeCms建站的,时间也算很长了,但是最近我们公司用dede做的网站被频繁被挂马,网上已经找不到解决方法,客户天天投诉,dedecms从原创团队解散后,几年了基本没有什么更新和维护,没有办法只能重新寻找新的cms改版。

  • 痛定思痛!Shopify大规模封店给我们跨境卖家的启示

    就在昨天中午,毫无预兆的情况下,我们的Shopify店铺无法打开了,只显示wewillcomingsoon的提示。随后我们在一个群里也发现很多人跟我们一样遭遇,同样是没收到邮件通知,也没有任何先兆。

    标签:
    自助建站系统
  • 为什么在建站时最好选择独立IP的服务器

    企业网站在建设时,有一部分站长会为了让网站做的更加出彩选择在服务器方面压缩成本,所以会拒绝使用独立服务器,转而选择一些较为经济的空间。这其实是一种错误的做法,服务器是网站运营的根本,即使在网站设计方面节约一些成本,也一定要选择一个好的服务器,否贼会给网站日后的运营带来很多麻烦,省下的成本也许会在日后

    标签:
    独立IP主机
  • 在进行网站建设时 如何选择合适的服务器

    随着互联网带给传统行业的冲击越来越大,有很多企业都不得不选择通过搭建网站来保证自身的收益,但网站的搭建也并不是一件简单的事情,如果网站不能给用户带来很好的体验,那么可能就无法为企业带来正面的效果,反而会白白浪费运营网站的成本。

  • 谈谈分销系统那些事

    分销系统是新兴事物,有些老板对于分销系统这个行业的知识了解比较少,就会造成在选择分销系统公司时,有一些考虑不周全的地方,可以说有不少老板做分销系统的历程可谓是千辛万苦,不知道什么时候就出现了超出自己想象的麻烦。

    标签:
    分销系统
  • 建站指南丨如何低成本建设自己的网站?

    说起SugarHosts,是欧洲的老牌主机商了,提供虚拟主机、VPS、云主机、域名等业务,其中香港、洛杉矶中美极速数据中心的虚拟主机,是非常适合国内用户使用,免备案即开即用,网络优化很好,网速快延迟也低。总体来看Pro方案,性价比极高,强烈推荐,免费赠送SSL证书、独立IP,大大提高了网站实用性,关

  • 企业官网在建设时需要注意的事项有哪些?

    企业的官网对一家企业来说非常重要,在互联网时代,官网就代表着一家企业在网上的门面和形象。大部分人现在在试图了解陌生的公司时,都会选择去官网一探究竟,所以如果企业网站的设计不成功的话很大可能会影响到企业的发展。那么,在企业官网建设时,需要注意哪些地方呢?

  • 网站安全维护经验 防止被黑客攻击的5个办法

    要定期修改管理员的账户和密码,而且密码的复杂程度要大小写字母加数字加特殊符号来设置,从而提高网站安全系数,这样才能避免网站不被攻击,如果对网站安全防护加固有需求的话可以去看看专业的网站安全公司来提供解决方案,像SINE安全,鹰盾安全,启明星辰,绿盟等等都是比较专业的安全公司。

榜单

热门排行

信息推荐

扫一扫关注最新创业资讯