在網(wǎng)站安全的日常安全檢測當(dāng)中,我們SINE安全公司發(fā)現(xiàn)網(wǎng)站的邏輯漏洞占比也是很高的,前段時間某酒店網(wǎng)站被爆出存在高危的邏輯漏洞,該漏洞導(dǎo)致酒店的幾億客戶的信息遭泄露,包括手機(jī)號,姓名,地址都被泄露,后續(xù)帶來的損失很大,最近幾年用戶信息泄露的事件時有發(fā)生,給很多企業(yè),酒店都上了一堂生動的安全課。關(guān)于網(wǎng)站邏輯漏洞的總結(jié),今天跟大家詳細(xì)講解一下。
網(wǎng)站邏輯漏洞
用戶的隱私信息屬于數(shù)據(jù)的保護(hù)的最高級別,也是最重要的一部分?jǐn)?shù)據(jù),在邏輯漏洞當(dāng)中屬于敏感信息泄露,有些敏感信息還包括了系統(tǒng)的重要信息,比如服務(wù)器的版本linux或者windows的版本,以及網(wǎng)站使用的版本,比如php版本,mysql版本,系統(tǒng)開發(fā)的版本,像dedecms,ECShop版本等等的信息都屬于敏感信息的一部分。這些數(shù)據(jù)如果被泄露出去,那么入侵者就會嘗試多個方法對系統(tǒng)進(jìn)行攻擊,獲取到的敏感信息越多,系統(tǒng)受攻擊的程度越大。有一些網(wǎng)站的敏感信息包括客戶的注冊資料,手機(jī)號,身份證號碼及掃描件,名字,年月日。這些用戶的資料如果被泄漏直接受危害的就是客戶本身,比如這次酒店客戶資料泄漏事件的發(fā)生,帶來的危害太大了。
那么邏輯漏洞的產(chǎn)生導(dǎo)致敏感信息泄漏主要的過程是什么呢?首先通過用戶資料敏感信息的傳輸過程,傳輸?shù)骄W(wǎng)站系統(tǒng)里去并展示,網(wǎng)站的前端以及APP客戶端的代碼注釋,再經(jīng)由錯誤代碼的安全測試,都會導(dǎo)致敏感信息的泄漏。
用戶資料敏感信息是整個系統(tǒng)當(dāng)中最重要的一部分,打比方,客戶要注冊一個網(wǎng)站,首先會填寫注冊資料到網(wǎng)站里去,再點(diǎn)擊提交,再客戶提交到服務(wù)器端的時候,如果網(wǎng)站沒有加密或者使用SSL證書加密,都會被攻擊者截取獲取到客戶注冊資料內(nèi)容,導(dǎo)致用戶敏感信息泄漏。
舉一個簡單例子就是某個網(wǎng)站在修改當(dāng)前用戶密碼的過程當(dāng)中,我們SINE安全公司對其進(jìn)行測試發(fā)現(xiàn)post數(shù)據(jù)里的內(nèi)容竟然都是明文保存的密碼,導(dǎo)致可以被攻擊者獲取到,進(jìn)而盜取用戶賬號密碼。
一些敏感信息的顯示過程也會泄漏信息,很多網(wǎng)站的開發(fā)過程中沒有對用戶的賬號密碼這些信息進(jìn)行加密導(dǎo)致用戶登錄頁面可以看到明文的代碼。登錄系統(tǒng)查看源代碼就可以看到密碼。這樣也就等于告訴了攻擊者,攻擊者直接登錄了網(wǎng)站的后臺。如下圖:
越來越多的用戶敏感信息泄漏事情的發(fā)生讓我對于用戶的數(shù)據(jù)安全擔(dān)憂,不得不保護(hù)好網(wǎng)站的安全以及用戶的敏感數(shù)據(jù)。關(guān)于邏輯漏洞的修復(fù)方案,首先從代碼進(jìn)行安全檢測,存儲用戶密碼的地方進(jìn)行嚴(yán)格的過濾,再一個就是敏感的信息在傳輸過程,以及顯示到網(wǎng)站里的時候都要進(jìn)行加密,MD5加密,數(shù)據(jù)SSL加密傳輸,重要的數(shù)據(jù)盡可能的使用POST的提交方式進(jìn)行,用戶密碼要使用加強(qiáng)的加密方式MD5+特殊編碼的方式進(jìn)行加密,對于網(wǎng)站的一些報(bào)錯頁面也要禁止掉回顯,網(wǎng)站邏輯漏洞修復(fù),需要很多專業(yè)的知識,也不僅僅是知識,還需要大量的經(jīng)驗(yàn)積累,所以從做網(wǎng)站到維護(hù)網(wǎng)站,維護(hù)服務(wù)器,盡可能找專業(yè)的網(wǎng)站安全公司來解決問題,。
希望以上對邏輯漏洞的介紹,以及邏輯漏洞的修復(fù)方案能幫到正在需要的你,安全你我他,有多分享,就有多安全。本文來源:www.sinesafe.com
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!