您当前的位置:首页 > 电脑百科 > 安全防护 > 服务器/网站

网站漏洞修复安全加固措施

时间:2022-10-18 17:19:03  来源:网易号  作者:网站安全服务器安全

在我对客户网站进行逻辑漏洞检测的时候,逻辑漏洞就是指由于程序结构输入管理不紧,造成程序代码不能够 正常解决或错误处理,一般发生在新用户注册、找回密码、信息内容查询、网上交易结算额度等。我将全部逻辑漏洞的现象分成前端开发和后端开发2个组成部分,整体构思全部都是先检测前端开发再检测后端开发。在我解读中实际上便是能提升标准限定的便是漏洞【像无法更改的,利用抓包就能够更改了】。


 

一、网站的注册功能

注册账号功能很有可能发生任一新用户注册、骚扰短信等现象。

相互配合知识结构图(在这里以普遍的手机号注册举例说明,同样的道理别的注册账号还可以套入该模型)框里边是对每1个方法步骤的表述,框右侧是总结的步骤。(先无论是图形验证码的缘故是由于即使图形验证码可避过,厂家也会由于该漏洞影响小而忽视)

1、前端开发

首要是前端开发,点开抓包软件,将所有注册申请看一遍,将每一个方法步骤的包都鼠标右键标出来不一样的颜色。

如同这种:

查询每一个返回包有木有返回短信验证码或是存有true、false类似的判定句子,试着将false更改为true,顺利注册账号的情况下就避过了前端开发认证。

这种能够 阻拦该post请求返回包:虚拟币交易所网站的渗透测试总结篇。

2、骚扰短信

试着重放传送短信验证码的包,查询手机是不是在短期内接到了好几条短消息,是的情况下则存有骚扰短信漏洞,这是由于后端开发并没有对传送手机信息做时长限定。

3、更改传送包手机号码


 

最终是更改传送包的手机号码,首要用自个的手机接到合理短信验证码,在立即注册时阻拦包将手机号码改成别的手机号码,要是顺利的情况下就注册账号了他人的手机号码,这是由于后端开发仅认证了短信验证码是不是合理的而并没有认证短信验证码是不是与手机匹配。

步骤总结

1、前端开发判定【回显及判定】

2、骚扰短信

3、更改发送数据库包中的手机号码

【邮箱注册】4、更改传送包邮箱试着复盖注册账号

之上是手机号注册的大约架构步骤,同样的道理别的注册账号种类还可以相比检测。

二、登陆录

登陆处很有可能发生任一账号登录、短信验证码可避过、客户账户可拖库等现象。相互配合知识结构图,这儿知识结构图上说的登陆密码同样是短信验证码,由于要以短信验证码登陆举例说明(以普遍的短信验证码登陆举例说明,相同账户密码登陆还可以套入该模形,短信验证码登陆的独特处占用框标识)

相同的,同样是先检测前端开发再检测后端开发。


 

1、前端开发

首要相比合理登陆和不正确登陆的包,相比返回包看是不是有判定,试着更改参数值避过前端开发认证。(这儿同样是点开抓包所有步骤看一遍,和上边的登记处检测类似)

2、骚扰短信

检测骚扰短信与登记处测试步骤相同(通常情况下登记处有骚扰短信的情况下这儿也会有)。

3、短信验证码暴破

再随后便是短信验证码暴破(或避过),这儿短信验证码包括图形验证码和短信验证码,先检测图形验证码,将应用合理密码登录的包再重放一回,要是回显依然合理登陆的情况下说明并没有对图形验证码开展限定,能够 试着拖库。

对于短信验证码,一般是试着暴破,要是网站发送到手机上的短消息并没有写哪些在xx时长内有效类似的则有很有可能并没有时长限定,将登录包鼠标右键发送到Intruder(即测试器模快)设定好暴破部位后在负载里挑选标值后这种填好。如果您的网站存在逻辑漏洞,不知道该如何进行检测可以找专业的网站安全公司来进行检测,国内SINE安全,绿盟,鹰盾安全,深信服,启明星辰都是比较不错的。



Tags:网站漏洞   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
网站漏洞修复安全加固措施
在我对客户网站进行逻辑漏洞检测的时候,逻辑漏洞就是指由于程序结构输入管理不紧,造成程序代码不能够 正常解决或错误处理,一般发生在新用户注册、找回密码、信息内容查询、网...【详细内容】
2022-10-18  Search: 网站漏洞  点击:(322)  评论:(0)  加入收藏
如何防护黑客攻击网站漏洞
从今年3月份全世界黑客攻击网站分析局势来看,黑客攻击的网站中中国占有了绝大多数。那麼作为一个公司或是开发公司,如何防止自身的网站黑客攻击,从企业网站建设之初,就应当搞好...【详细内容】
2020-11-24  Search: 网站漏洞  点击:(123)  评论:(0)  加入收藏
不花一分钱,轻松实现网站漏洞扫描,只需几分钟即可出具报告
网站漏洞想必有网站的人都比较了解,想要了解网站漏洞,最好的办法就是给网站做一次漏洞扫描,网站漏扫产品比较多,费用也从几十/次到几千/次不等,但是对于我这种小企业来说,几千一次...【详细内容】
2020-08-07  Search: 网站漏洞  点击:(689)  评论:(0)  加入收藏
wp博客php代码网站漏洞修复详情
2020年,刚刚开始WordPress博客系统被网站安全检测出有插件绕过漏洞,该插件的开发公司,已升级了该插件并发布1.7版本,对以前爆出的漏洞进行了修补,该企业网站漏洞造成的原因是未经...【详细内容】
2020-03-02  Search: 网站漏洞  点击:(431)  评论:(0)  加入收藏
黑客是如何使用未Root的Android手机扫描网站漏洞
进行网站测试并且发现漏洞是有一定难度的。但结合使用RapidScan和UserLAnd,任何人使用未root的Android手机都可以通过几个简单的命令开始网站渗透。RapidScan在漏洞扫描器和...【详细内容】
2020-02-22  Search: 网站漏洞  点击:(451)  评论:(0)  加入收藏
网站漏洞测试与修复漏洞Laravel框架
Laravel框架是目前许多网站,APP运营者都在使用的一款开发框架,正因为使用的网站较多,许多攻击者都在不停的对该网站进行漏洞测试,我们在对该套系统进行漏洞测试的时候,发现...【详细内容】
2019-11-18  Search: 网站漏洞  点击:(507)  评论:(0)  加入收藏
php关闭报错,防止把网站漏洞暴露给用户
一、直接在php代码中加入以下代码:error_reporting(E_ALL^E_NOTICE^E_WARNING);这样可以关闭所有notice 和 warning 级别的错误。把这个语句放在您脚本的功用包含文件中,通...【详细内容】
2019-10-11  Search: 网站漏洞  点击:(706)  评论:(0)  加入收藏
网站漏洞检测 关于phpstudy后门的分析与修复
phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即...【详细内容】
2019-09-27  Search: 网站漏洞  点击:(646)  评论:(0)  加入收藏
网站漏洞检测 解析绕过上传漏洞
在日常对客户网站进行渗透测试服务的时候,我们经常遇到客户网站,app存在文件上传功能,程序员在设计开发代码的过程中都会对上传的文件类型,格式,后缀名做安全效验与过滤判断,工程...【详细内容】
2019-09-23  Search: 网站漏洞  点击:(747)  评论:(0)  加入收藏
nginx网站漏洞该如何修复 加强服务器的安全防护
服务器的安全防护中,网站环境的搭建与安全部署也是很重要的一部分,目前大多数的服务器都使用的是nginx来搭建网站的运行环境,包括windows服务器,linux服务器都在使用,nginx的安全...【详细内容】
2019-07-30  Search: 网站漏洞  点击:(836)  评论:(0)  加入收藏
▌简易百科推荐
企业网站被攻击主要表现在哪些方面?
建企业网站只是功能实现,如果网站代码不够严谨有漏洞,再漂亮的网站也只是摆设,潜在风险害人害己。所以在建网站之初就一定要考虑好这个问题,如果系统建设不是强项可以选择一套主...【详细内容】
2023-12-18  三七一网络    Tags:网站   点击:(85)  评论:(0)  加入收藏
网站频繁被劫持怎么办?
域名劫持是互联网攻击的一种方式,通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意或...【详细内容】
2023-12-07  帝恩思DNS    Tags:被劫持   点击:(180)  评论:(0)  加入收藏
不可不知的Web安全指南
Web 已成为备受瞩目的攻击媒介,而 Web 安全对于确保企业的业务安全至关重要。如今黑客行为是一个公认的行业,而犯罪企业比以往任何时候都更加复杂且联系更加紧密。攻击一直在...【详细内容】
2023-09-18  云尖软件    Tags:Web安全   点击:(240)  评论:(0)  加入收藏
电商网站应对CC攻击的四大利器!
CC攻击是DDOS(分布式拒绝攻击)攻击的一种恶意手段,其原理是通过代理服务器或肉鸡向受害主机不断发起大量数据包,使目标服务器资源耗尽,导致其崩溃宕机。其特点在于使用真实且分散...【详细内容】
2023-07-19  诺必达云服务    Tags:CC攻击   点击:(205)  评论:(0)  加入收藏
你知道什么是堡垒机吗
在当今数字化时代,网络安全对于企业和组织来说至关重要。为了保护敏感数据和系统免受未经授权的访问和攻击,堡垒机成为一种必备工具。本文将介绍什么是堡垒机、其工作原理以及...【详细内容】
2023-07-14  职场小达人欢晓    Tags:堡垒机   点击:(144)  评论:(0)  加入收藏
如何防止黑客入侵服务器 预防黑客入侵有效方法
随着网络科技发展迅速,网络黑客手段越来越高明,不少人曾遭遇服务器被黑出现版本被盗,文件丢失,到那时候再补救就为时已晚了,那么平时如何防止黑客入侵服务器呢?一、采用NTFS文件系...【详细内容】
2023-05-25  芳芳分享汇    Tags:黑客入侵   点击:(304)  评论:(0)  加入收藏
我的网站被黑了,该如何排除漏洞并修复安全问题
随着时代的发展网站使用的频率是逐步增加。然而,随着互联网技术的不断进步,网站安全问题也引起了广泛关注。其中,最严重的问题是网站被黑客攻击。那么,何谓网站被黑?它可能会给企...【详细内容】
2023-05-18  Sinesafe网站安全    Tags:网站被黑   点击:(306)  评论:(0)  加入收藏
保护服务器机房物理安全的五种优秀实践
服务器机房是数字企业的心脏。无论是企业家还是经验丰富的IT专业人员,都知道服务器机房的安全性至关重要。如果没有采用适当的物理安全措施,其服务器很容易受到盗窃、人为破坏...【详细内容】
2023-05-17    企业网D1Net  Tags:服务器   点击:(288)  评论:(0)  加入收藏
CMS身份验证,保护您的网站!
在当今数字时代,网站安全至关重要。CMS是许多网站使用的内容管理系统,它们有助于管理和维护网站的内容。然而,CMS也是黑客攻击的常见目标,因此保护CMS非常重要。其中一个关键步...【详细内容】
2023-05-16  芳芳聊日常    Tags:身份验证   点击:(295)  评论:(0)  加入收藏
Linux系统服务器如何防止端口攻击?
端口攻击是指攻击者利用开放的端口来进入服务器、读取敏感信息和进行其他恶意行为。要防止 Linux 服务器的端口攻击,可以采取以下措施:1.配置防火墙:防火墙可以过滤非法流量,保...【详细内容】
2023-05-12  汽车车门的养护    Tags:端口攻击   点击:(351)  评论:(0)  加入收藏
站内最新
站内热门
站内头条