如何對網站登陸進行漏洞測試以及漏洞修復

從業滲透測試服務已經有十幾年了，在對客戶網站進行漏洞檢測，安全滲透時，尤爲網站用戶登陸功能上發現的漏洞不少，想總結一下在滲透測試過程當中，網站登陸功能上都存在哪些網站安全隱患，下面就有請咱們SINE安全的工程師老陳來給你們總結一下，讓你們都有更好的瞭解網站，在對本身網站進行開發的過程當中，尤爲用戶登陸功能上作好網站安全防禦，防止網站被攻擊。

網站登陸有安全驗證與效驗，從分支上又能夠分出其餘代碼功能，包括用戶註冊，忘記密碼，用戶登陸框，修改密碼，驗證碼（圖片以及短信驗證碼，郵箱驗證碼等功能），用戶登陸信息安全提示，密碼錯誤仍是輸入的帳號不對，以及帳號頻繁登陸的鎖定安全機制功能，大大小小的功能組成了網站的登陸功能。那麼咱們SINE安全在對客戶網站進行滲透測試服務的時候，在網站登陸功能裏到底發現那些致命的漏洞？下面咱們來詳細的舉例說明：

第一咱們從最簡單的一個用戶登陸框上來講，不少客戶網站並無對用戶前端輸入的參數值進行安全過濾，致使帳戶名字與密碼裏能夠插入惡意的參數值，致使SQL注入漏洞的發生，再一個就是使用萬能的密碼進行登陸，能夠繞過數據庫，直接登陸網站。SINE安全是如何幫用戶修復這個SQL注入漏洞呢？針對SQL注入的修復辦法是：對用戶登陸的帳號密碼字段的參數值進行預編譯，不容許特殊字符的輸入與傳輸，在代碼裏寫入get,post,cookies提交方式的安全攔截，發現惡意的字符包括<,>,\,/,，,",select,update,@,等等進行攔截，並返回錯誤提示，對特定的sql語句在代碼裏進行預編譯，禁止多餘的參數插入到帳號與密碼字段中。

用戶ID與密碼被暴力破解，不少客戶網站並無對網站的登陸進行安全判斷，致使攻擊者能夠隨意的對其進行任意的帳號密碼嘗試登陸，有些甚至有密碼字典，能夠不斷去猜解用戶的ID與密碼，致使網站用戶被惡意登陸，資料惡意篡改等狀況發生。對這種滲透中發現的漏洞咱們SINE安全的修復辦法是：增長驗證碼功能（圖片驗證碼，或者是短信驗證碼），每次登陸都必須輸入對的驗證碼，若是驗證碼不對那就不容許登陸，也能夠將驗證碼作時間的限制，30秒才能從新獲取。 再一個對用戶ID輸入錯誤的提示，能夠混淆攻擊者的視線，提示是密碼錯誤。在用戶登陸次數達到6次以上直接鎖定該帳戶的登陸。

XSS跨站攻擊漏洞也會在用戶登陸框中發生，比較常見的就是用戶名的參數值中，有些客戶網站沒有對XSS惡意代碼進行安全效驗，致使能夠輸入錯誤的帳號進行登陸，當錯誤登陸的時候，後臺有可能會有錯誤的用戶登陸記錄，包括post數據包裏網站來源都會插入XSS攻擊代碼，致使管理員在查看用戶登陸錯誤日誌的時候觸發XSS漏洞。XSS跨站漏洞能夠獲取用戶的cookies值，以及網站後臺的地址，並能夠將瀏覽器打開後臺進行截圖等功能，如何修復XSS跨站漏洞？對get,post,cookies的提交方式進行安全過濾，攔截掉<,>，,img,"",等字符。

任意用戶註冊漏洞也會在網站登陸功能上發生，能夠用來猜想網站是否有註冊過該用戶名，進行批量的暴力枚舉。對註冊使用的驗證碼進行繞過，使用正確的短信驗證碼提交註冊便可繞過註冊，手機以及郵箱的驗證碼過於過短，致使暴力破解，針對於這樣的網站漏洞咱們SINE安全的修復建議是對驗證碼和註冊信息進行同步請求，對驗證碼進行驗證是否正確，而後再來肯定註冊的信息是否與驗證碼是一體的。

還有不少網站功能在滲透測試過程當中出現的漏洞，這裏總結的是上部分，下一部分咱們將會在下一篇文章中跟你們揭曉，也但願這些的滲透測試分享能讓你們對網站的安全有所瞭解，只有真正的瞭解了本身的網站，才能把安全作好，知彼知己百戰不殆。在網站上線以及發生安全問題後，必定要作滲透測試服務，提早檢測網站存在的漏洞，以及模擬攻擊者的手法去查找漏洞根源，防患於未然,國內作的比較專業網站滲透測試公司推薦Sinesafe,綠盟,啓明星辰等等專業的安全公司都是比較不錯的。