網站安全公司對於網站邏輯漏洞的修復方案分享

在網站安全的平常安全檢測當中，咱們SINE安全公司發現網站的邏輯漏洞佔比也是很高的，前段時間某酒店網站被爆出存在高危的邏輯漏洞，該漏洞致使酒店的幾億客戶的信息遭泄露，包括手機號，姓名，地址都被泄露，後續帶來的損失很大，最近幾年用戶信息泄露的事件時有發生，給不少企業，酒店都上了一堂生動的安全課。關於網站邏輯漏洞的總結，今天跟你們詳細講解一下。

網站邏輯漏洞

用戶的隱私信息屬於數據的保護的最高級別，也是最重要的一部分數據，在邏輯漏洞當中屬於敏感信息泄露，有些敏感信息還包括了系統的重要信息，好比服務器的版本linux或者windows的版本，以及網站使用的版本，好比php版本，mysql版本，系統開發的版本，像dedecms,ECShop版本等等的信息都屬於敏感信息的一部分。這些數據若是被泄露出去，那麼入侵者就會嘗試多個方法對系統進行攻擊，獲取到的敏感信息越多，系統受攻擊的程度越大。有一些網站的敏感信息包括客戶的註冊資料，手機號，身份證號碼及掃描件，名字，年月日。這些用戶的資料若是被泄漏直接受危害的就是客戶自己，好比此次酒店客戶資料泄漏事件的發生，帶來的危害太大了。

那麼邏輯漏洞的產生致使敏感信息泄漏主要的過程是什麼呢？首先經過用戶資料敏感信息的傳輸過程，傳輸到網站系統裏去並展現，網站的前端以及APP客戶端的代碼註釋，再經由錯誤代碼的安全測試，都會致使敏感信息的泄漏。

用戶資料敏感信息是整個系統當中最重要的一部分，打比方，客戶要註冊一個網站，首先會填寫註冊資料到網站裏去，再點擊提交，再客戶提交到服務器端的時候，若是網站沒有加密或者使用SSL證書加密，都會被攻擊者截取獲取到客戶註冊資料內容，致使用戶敏感信息泄漏。

舉一個簡單例子就是某個網站在修改當前用戶密碼的過程中，咱們SINE安全公司對其進行測試發現post數據裏的內容居然都是明文保存的密碼，致使能夠被攻擊者獲取到，進而盜取用戶帳號密碼。

 

一些敏感信息的顯示過程也會泄漏信息，不少網站的開發過程當中沒有對用戶的帳號密碼這些信息進行加密緻使用戶登陸頁面能夠看到明文的代碼。登陸系統查看源代碼就能夠看到密碼。這樣也就等於告訴了攻擊者，攻擊者直接登陸了網站的後臺。以下圖：

網站前端、APP客戶端代碼的註釋致使的泄漏，咱們舉個簡單的例子，某客戶的網站後臺管理用戶登陸的頁面，咱們安全檢測發現註釋代碼里居然寫了網站的管理員帳號密碼，雖然是註釋過的代碼，可是仔細一看仍是會發現問題。

網站邏輯漏洞修復方案

愈來愈多的用戶敏感信息泄漏事情的發生讓我對於用戶的數據安全擔心，不得不保護好網站的安全以及用戶的敏感數據。關於邏輯漏洞的修復方案，首先從代碼進行安全檢測，存儲用戶密碼的地方進行嚴格的過濾，再一個就是敏感的信息在傳輸過程，以及顯示到網站裏的時候都要進行加密，MD5加密，數據SSL加密傳輸，重要的數據儘量的使用POST的提交方式進行，用戶密碼要使用增強的加密方式MD5+特殊編碼的方式進行加密，對於網站的一些報錯頁面也要禁止掉回顯，網站邏輯漏洞修復，須要不少專業的知識，也不單單是知識，還須要大量的經驗積累，因此從作網站到維護網站，維護服務器，儘量找專業的網站安全公司來解決問題，國內也就Sinesafe和綠盟、啓明星辰等安全公司比較專業.

但願以上對邏輯漏洞的介紹，以及邏輯漏洞的修復方案能幫到正在須要的你，安全你我他，有多分享，就有多安全。