当前位置:首页 >  站长 >  建站经验 >  正文

网站漏洞检测 CSRF代码攻击与加固方案

 2019-09-06 10:03  来源:A5用户投稿  我来投稿   websafe的个人主页 撤稿纠错

  各种互联网项目,新手可操作,几乎都是0门槛

XSS跨站以及CSRF攻击,在目前的渗透测试,以及网站漏洞检测中 ,经常的被爆出有高危漏洞,我们SINE安全公司在对客户网站进行渗透测试时,也常有的发现客户网站以及APP存在以上的漏洞,其实CSRF以及XSS跨站很容易被发现以及利用,在收集客户网站域名,以及其他信息的时候,大体的注意一些请求操作,前端输入,get,post请求中,可否插入csrf代码,以及XSS代码。

很多客户的网站都有做一些安全的过滤,都是做一些恶意参数的拦截,检测的字段也都是referer检测以及post内容检测,在http头,cookies上并没有做详细的安全效验与过滤,今天主要讲一讲如何检测csrf漏洞以及csrf防护办法,防止xss csrf的攻击。

通常我们SINE安全在渗透测试客户网站是否存在csrf漏洞,首先采用点击的形式去测试漏洞,在一个网站功能上利用点击的方式绕过安全效验与拦截,从技术层面上来讲,点击的请求操作来自于信任的网站,是不会对csrf的攻击进行拦截的,也就会导致CSRF攻击。再一个检测漏洞的方式更改请求方式,比如之前网站使用的都是get提交方式去请求网站的后端,我们可以伪造参数,抓包修改post提交方式发送过去,就可以绕过网站之前的安全防护,直接执行CSRF恶意代码,漏洞产生的原因就是,网站开发者只针对了GET请求方式进行安全拦截,并没有对post的方式进行拦截,导致漏洞的发生。有些客户网站使用了token来防止XSS跨站的攻击,在设计token的时候没有考虑到空值是否可以绕过的问题,导致可以token为空,就可以直接将恶意代码传入到后端中去。还有的网站APP没有token的所属账户进行效验,导致可以利用其它账户的token进行CSRF代码攻击。

那如何防止XSS csrf攻击? 如何修复该网站漏洞

根据我们SINE安全十多年来总结下来的经验,针对XSS,csrf漏洞修复方案是:对所有的GET请求,以及POST请求里,过滤非法字符的输入。'分号过滤 --过滤 %20特殊字符过滤,单引号过滤,%百分号,<>,and过滤,tab键值等的的安全过滤。使用token对csrf的请求进行安全效验与拦截,对token的控制进行逻辑功能判断,如果发现token值为空,直接返回404错误,或者拦截该值为空的请求,还有要对token的所属账户进行效验,判断该token是否为当前账户的,如果不是就拦截掉该请求,或者返回错误页面。

使用session与token的双层安全效验,如果seeion与token值不对等,与你的加密算法不一致,就将该请求过滤拦截掉,如果两个的值与加密算出来的值相等,就是合法的请求,但是加密算法一定要隐藏掉,写入到后端,不要被逆向破解掉。对referer字段进行安全效验,检查URL是否是白名单里的,对于referer为空直接拦截掉该请求,URL的白名单要含有WWW,拒绝二级域名的请求。以上就是关于渗透测试中发现的xss csrf漏洞修复方案,如果您对网站代码不是太懂的话,不知道该如何修复漏洞,可以找专业的网站安全公司来处理解决,国内SINESAFE,绿盟,启明星辰,都是比较不错的网络安全公司,针对漏洞的修复就到这里了,安全提示:网站,APP在上线的同时,一定要对网站进行渗透测试服务,检测网站存在的漏洞,以及安全隐患,防止后期网站运行中出现一些没有必要的损失。

作者: websafe    /    文章:63篇

相关标签
网站漏洞检测

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • wordpress漏洞修复方案之第三方插件漏洞

    wordpress系统本身代码,很少出现sql注入漏洞,反倒是第三方的插件出现太多太多的漏洞,我们SINE安全发现,仅仅2019年9月份就出现8个插件漏洞,因为第三方开发的插件,技术都参差不齐,对安全方面也不是太懂导致写代码过程中没有对sql注入,以及xss跨站进行前端安全过滤,才导致发生sql注入

  • 网站漏洞检测 squid反向代理存在远程代码执行漏洞

    在对网站进行渗透测试的时候,发现很多网站都在使用squid反向代理系统,该系统存在可以执行远程代码的漏洞,很多客户找我们SINE安全做渗透测试服务的同时,我们会先对客户的网站进行信息搜集工作,包括域名,二级域名收集,网站使用的反向代理系统,网站程序开发语言,是否使用开源的代码,以及网站后台路径收集,

  • 如何修复网站漏洞 全局变量覆盖漏洞的修复方式

    临近9月底,seacms官方升级海洋cms系统到9.95版本,我们SINE安全在对其源码进行网站漏洞检测的时候发现问题,可导致全局变量被覆盖,后台可以存在越权漏洞并绕过后台安全检测直接登录管理员账号。关于该漏洞的具体详情,我们来详细的分析一下

    标签:
    网站漏洞检测
  • 网站被攻击 该如何查找攻击及网站漏洞

    很多企业网站被攻击,导致网站打开跳转到别的网站,尤其一些彩票等非法网站上去,甚至有些网站被攻击的打不开,客户无法访问首页,给客户造成了很大的经济损失,很多客户找到我们SINE安全公司寻求防止网站被攻击的解决方案,针对这一情况,我们安全部门的技术,给大家普及一下网站被攻击后该如何查找攻击源以及对检测网

    标签:
    网站漏洞检测
  • 网站漏洞修复对CSRF攻击详情

    六一儿童节快到了,最近出了太多太多的漏洞,像前几天被爆出的cve-2019-0708漏洞,利用的是windows服务器远程桌面rdp协议进行的攻击,今天来给大家送一个礼物是关于网站方面的,jsonp漏洞可以导致csrf网站攻击。

  • Laravel框架网站漏洞测试与修复

    Laravel框架是目前许多网站,APP运营者都在使用的一款开发框架,正因为使用的网站较多,许多攻击者都在不停的对该网站进行漏洞测试,我们SINE安全在对该套系统进行漏洞测试的时候,发现存在REC漏洞.主要是XSRF漏洞,下面我们来详细的分析漏洞,以及如何利用,漏洞修复等三个方面进行全面的记录.

    标签:
    网站漏洞修复
  • 如何制作网站?网站建设基本流程详解

    互联网时代,各行各业的企业为了适应时代的发展,纷纷从线下转移至线上来拓展自己的业务。若想让更多人了解自己的企业,拥有一个专属网站至关重要。网站不仅可以详细介绍企业信息,更重要的,能够获取不少潜在客户,有利于品牌宣传和推广。

  • 什么是外贸建站?建站前都有哪些必须了解的?

    网站建成后,得有足够的流量,你才可以实现变现盈利。不然你的外贸网站就只是个空架子,毫无用处。这就需要你做好网站推广,方法也有很多:可以建成网站后,多分享给亲朋好友和老顾客;

  • 外贸建站9大注意要点

    一个网站的好坏、排名高低,用户体验起着关键的作用。如果一个网站不去注重用户体验,那么这个网站就不会得到用户的青睐,即使推广的再多,流量转化率低,询盘少,最后并不会为企业带来更多的订单。

  • 外贸建站公司提醒:这些坑不要入

    在进出口贸易中,70%的采购商使用的是英语,但是仍然有30%的采购商通过母语获取信息。而大多数企业只会将网站展示为英语,而忽略了其它的小语种,这样也会流失掉一些商机。

  • 为什么我的虚拟主机建站访问速度慢

    虚拟主机毕竟便宜,本身性能有限制是正常情况,如果无法在主机上做突破,站长可以多优化自身网站,如不要放置过多图片与视频,尤其FLASH动画尽量避免。网站加载内容越少,速度自然会越快。

    标签:
    虚拟主机
  • 虚拟主机建站 这4点会导致访问速度慢

    一般来说,使用虚拟主机的网多为个人博客、企业网站、论坛等规模不大的网站,如果网站本身流量巨大,且有提供下载、视频等,那么单纯的虚拟主机是无法满足要求的,访问速度慢就需要更换为服务器了。

    标签:
    虚拟主机
  • 手机建站四大核心组成部分

    移动设备接入网络的方式通常有两种,自带移动网络或WIFI,而这种接入方式使得网站更容易入用户建立情感。

    标签:
    手机建站
  • 手机建站留住客户有妙招

    内容永远是最重要的一环,使用手机登入网站的用户大多会专注于一个问题,更希望得到一个问题详尽的答案。

    标签:
    手机建站
  • 三个小知识 教你全方位认识手机建站

    目前市面上的手机网站建设平台虽然数量很多,但质量高的就没多少了。所以大家一定要慎重选择,免得被坑。建站团队的技术水平、模板设计质量、模板数量、过往成功案例、系统稳定性和安全性、售后服务水平等,都是你需要好好调研的部分。有了趁手的建站工具,才能让新手顺利建站,不然就会白白浪费时间和精力,还做不好网站。

    标签:
    手机建站
榜单

热门排行

信息推荐

扫一扫关注最新创业资讯