網站安全檢測之邏輯漏洞檢測修復方案

時間 2019-11-06

原文原文鏈接

網站安全是整個網站運營中最重要的一部分，網站沒有了安全，那用戶的隱私如何保障，在網站中進行的任何交易，支付，用戶的註冊信息都就沒有了安全保障，因此網站安全作好了，才能更好的去運營一個網站，咱們SINE安全在對客戶進行網站安所有署與檢測的同時，發現網站的業務邏輯漏洞不少，尤爲暴利破解漏洞。數據庫

網站安全裏的用戶密碼暴利破解，是目前業務邏輯漏洞裏出現比較多的一個網站漏洞，其實暴力破解簡單來講就是利用用戶的弱口令，好比123456，111111,22222，admin等比較經常使用的密碼，來進行猜想並嘗試登錄網站進行用戶密碼登錄，這種攻擊方式，若是網站在設計當中沒有設計好的話，後期會給網站服務器後端帶來很大的壓力，能夠給網站形成打不開，以及服務器癱瘓等影響，甚至有些暴力破解會利用工具，進行自動化的模擬攻擊，線程能夠開到100-1000瞬時間就能夠把服務器的CPU搞爆，大大的縮短了暴力破解的時間甚至有時幾分鐘就能夠破解用戶的密碼。後端

在咱們SINE安全對客戶網站漏洞檢測的同時，咱們都會去從用戶的登陸，密碼找回，用戶註冊，二級密碼等等業務功能上去進行安全檢測，經過咱們十多年來的安全檢測經驗，咱們來簡單的介紹一下。安全

首先咱們來看下，暴力破解的模式，分身份驗證碼模塊暴利破解，以及無任何防禦，IP鎖定機制，不間斷撞庫，驗證碼又分圖片驗證碼，短信驗證碼，驗證碼的安全繞過，手機短信驗證碼的爆破與繞過等等幾大方面。無任何防禦的就是網站用戶在登陸的時候並無限制用戶錯誤登陸的次數，以及用戶註冊的次數，重置密碼的吃書，沒有用戶登陸驗證碼，用戶密碼沒有MD5加密，這樣就是無任何的安全防禦，致使攻擊者能夠趁虛而入，暴力破解一個網站的用戶密碼變的十分簡單。服務器

IP鎖定機制就是一些網站會採用一些安全防禦措施，當用戶登陸網站的時候，登陸錯誤次數超過3次，或者10次，會將該用戶帳號鎖定並鎖定該登陸帳戶的IP，IP鎖定後，該攻擊者將沒法登陸網站。微信

驗證碼破解與繞過，在整個網站安全檢測當中很重要，通常驗證碼分爲手機短信驗證碼，微信驗證碼，圖片驗證碼，網站在設計過程當中就使用了驗證碼安全機制，可是仍是會繞過以及暴利破解，有些攻擊軟件會自動的識別驗證碼，目前有些驗證碼就會使用一些拼圖，以及特殊字體，甚至有些驗證碼輸入一次就能夠屢次使用，驗證碼在效驗的時候並無與數據庫對比，致使被繞過。工具

關於網站出現邏輯漏洞該如何修復漏洞呢？字體

首先要設計好IP鎖定的安全機制，當攻擊者在嘗試登錄網站用戶的時候，能夠設定一分鐘登錄多少次，登錄多了就鎖定該IP，再一個帳戶若是嘗試一些特殊操做，好比找回密碼，找回次數過多，也會封掉該IP。網站

驗證碼識別防禦，增長一些語音驗證碼，特殊字體驗證碼，拼圖下拉驗證碼，須要人手動操做的驗證碼，短信驗證碼一分鐘只能獲取一次驗證碼。驗證碼的生效時間安全限制，不管驗證碼是否正確都要一分鐘後就過時，不能再用。全部的用戶登陸以及註冊，都要與後端服務器進行交互，包括數據庫服務器。加密