在網站安全的日常安全檢測當中,我們SINE安全公司發現網站的邏輯漏洞占比也是很高的,前段時間某酒店網站被爆出存在高危的邏輯漏洞,該漏洞導緻酒店的幾億客戶的資訊遭洩露,包括手機号,姓名,位址都被洩露,後續帶來的損失很大,最近幾年使用者資訊洩露的事件時有發生,給很多企業,酒店都上了一堂生動的安全課。關于網站邏輯漏洞的總結,今天跟大家詳細講解一下。
網站邏輯漏洞
使用者的隐私資訊屬于資料的保護的最進階别,也是最重要的一部分資料,在邏輯漏洞當中屬于敏感資訊洩露,有些敏感資訊還包括了系統的重要資訊,比如伺服器的版本linux或者windows的版本,以及網站使用的版本,比如php版本,mysql版本,系統開發的版本,像dedecms,ECShop版本等等的資訊都屬于敏感資訊的一部分。這些資料如果被洩露出去,那麼入侵者就會嘗試多個方法對系統進行攻擊,擷取到的敏感資訊越多,系統受攻擊的程度越大。有一些網站的敏感資訊包括客戶的注冊資料,手機号,身份證号碼及掃描件,名字,年月日。這些使用者的資料如果被洩漏直接受危害的就是客戶本身,比如這次酒店客戶資料洩漏事件的發生,帶來的危害太大了。
那麼邏輯漏洞的産生導緻敏感資訊洩漏主要的過程是什麼呢?首先通過使用者資料敏感資訊的傳輸過程,傳輸到網站系統裡去并展示,網站的前端以及APP用戶端的代碼注釋,再經由錯誤代碼的安全測試,都會導緻敏感資訊的洩漏。
使用者資料敏感資訊是整個系統當中最重要的一部分,打比方,客戶要注冊一個網站,首先會填寫注冊資料到網站裡去,再點選送出,再客戶送出到伺服器端的時候,如果網站沒有加密或者使用SSL證書加密,都會被攻擊者截取擷取到客戶注冊資料内容,導緻使用者敏感資訊洩漏。
舉一個簡單例子就是某個網站在修改目前使用者密碼的過程當中,我們SINE安全公司對其進行測試發現post資料裡的内容竟然都是明文儲存的密碼,導緻可以被攻擊者擷取到,進而盜取使用者賬号密碼。
一些敏感資訊的顯示過程也會洩漏資訊,很多網站的開發過程中沒有對使用者的賬号密碼這些資訊進行加密導緻使用者登入頁面可以看到明文的代碼。登入系統檢視源代碼就可以看到密碼。這樣也就等于告訴了攻擊者,攻擊者直接登入了網站的背景。如下圖:
網站前端、APP用戶端代碼的注釋導緻的洩漏,我們舉個簡單的例子,某客戶的網站背景管理使用者登入的頁面,我們安全檢測發現注釋代碼裡竟然寫了網站的管理者賬号密碼,雖然是注釋過的代碼,但是仔細一看還是會發現問題。
網站邏輯漏洞修複方案
越來越多的使用者敏感資訊洩漏事情的發生讓我對于使用者的資料安全擔憂,不得不保護好網站的安全以及使用者的敏感資料。關于邏輯漏洞的修複方案,首先從代碼進行安全檢測,存儲使用者密碼的地方進行嚴格的過濾,再一個就是敏感的資訊在傳輸過程,以及顯示到網站裡的時候都要進行加密,MD5加密,資料SSL加密傳輸,重要的資料盡可能的使用POST的送出方式進行,使用者密碼要使用加強的加密方式MD5+特殊編碼的方式進行加密,對于網站的一些報錯頁面也要禁止掉回顯,網站邏輯漏洞修複,需要很多專業的知識,也不僅僅是知識,還需要大量的經驗積累,是以從做網站到維護網站,維護伺服器,盡可能找專業的網站安全公司來解決問題,國内也就Sinesafe和綠盟、啟明星辰等安全公司比較專業.
希望以上對邏輯漏洞的介紹,以及邏輯漏洞的修複方案能幫到正在需要的你,安全你我他,有多分享,就有多安全。