網站安全檢測之邏輯漏洞檢測 修複方案

網站安全是整個網站營運中最重要的一部分，網站沒有了安全，那使用者的隐私如何保障，在網站中進行的任何交易，支付，使用者的注冊資訊都就沒有了安全保障，是以網站安全做好了，才能更好的去營運一個網站，我們SINE安全在對客戶進行網站安全部署與檢測的同時，發現網站的業務邏輯漏洞很多，尤其暴利破解漏洞。

網站安全裡的使用者密碼暴利破解，是目前業務邏輯漏洞裡出現比較多的一個網站漏洞，其實暴力破解簡單來說就是利用使用者的弱密碼，比如123456，111111,22222，admin等比較常用的密碼，來進行猜測并嘗試登陸網站進行使用者密碼登陸，這種攻擊方式，如果網站在設計當中沒有設計好的話，後期會給網站伺服器後端帶來很大的壓力，可以給網站造成打不開，以及伺服器癱瘓等影響，甚至有些暴力破解會利用工具，進行自動化的模拟攻擊，線程可以開到100-1000瞬時間就可以把伺服器的CPU搞爆，大大的縮短了暴力破解的時間甚至有時幾分鐘就可以破解使用者的密碼。

在我們SINE安全對客戶網站漏洞檢測的同時，我們都會去從使用者的登入，密碼找回，使用者注冊，二級密碼等等業務功能上去進行安全檢測，通過我們十多年來的安全檢測經驗，我們來簡單的介紹一下。

首先我們來看下，暴力破解的模式，分身份驗證碼子產品暴利破解，以及無任何防護，IP鎖定機制，不間斷撞庫，驗證碼又分圖檔驗證碼，短信驗證碼，驗證碼的安全繞過，手機短信驗證碼的爆破與繞過等等幾大方面。無任何防護的就是網站使用者在登入的時候并沒有限制使用者錯誤登入的次數，以及使用者注冊的次數，重置密碼的吃書，沒有使用者登入驗證碼，使用者密碼沒有MD5加密，這樣就是無任何的安全防護，導緻攻擊者可以趁虛而入，暴力破解一個網站的使用者密碼變的十分簡單。

IP鎖定機制就是一些網站會采用一些安全防護措施，當使用者登入網站的時候，登入錯誤次數超過3次，或者10次，會将該使用者賬号鎖定并鎖定該登入賬戶的IP，IP鎖定後，該攻擊者将無法登入網站。

驗證碼破解與繞過，在整個網站安全檢測當中很重要，一般驗證碼分為手機短信驗證碼，微信驗證碼，圖檔驗證碼，網站在設計過程中就使用了驗證碼安全機制，但是還是會繞過以及暴利破解，有些攻擊軟體會自動的識别驗證碼，目前有些驗證碼就會使用一些拼圖，以及特殊字型，甚至有些驗證碼輸入一次就可以多次使用，驗證碼在效驗的時候并沒有與資料庫對比，導緻被繞過。