XSS跨站以及CSRF攻擊,在目前的滲透測試,以及網(wǎng)站漏洞檢測中 ,經(jīng)常的被爆出有高危漏洞,我們SINE安全公司在對客戶網(wǎng)站進行滲透測試時,也常有的發(fā)現(xiàn)客戶網(wǎng)站以及APP存在以上的漏洞,其實CSRF以及XSS跨站很容易被發(fā)現(xiàn)以及利用,在收集客戶網(wǎng)站域名,以及其他信息的時候,大體的注意一些請求操作,前端輸入,get,post請求中,可否插入csrf代碼,以及XSS代碼。
很多客戶的網(wǎng)站都有做一些安全的過濾,都是做一些惡意參數(shù)的攔截,檢測的字段也都是referer檢測以及post內(nèi)容檢測,在http頭,cookies上并沒有做詳細的安全效驗與過濾,今天主要講一講如何檢測csrf漏洞以及csrf防護辦法,防止xss csrf的攻擊。
通常我們SINE安全在滲透測試客戶網(wǎng)站是否存在csrf漏洞,首先采用點擊的形式去測試漏洞,在一個網(wǎng)站功能上利用點擊的方式繞過安全效驗與攔截,從技術(shù)層面上來講,點擊的請求操作來自于信任的網(wǎng)站,是不會對csrf的攻擊進行攔截的,也就會導致CSRF攻擊。再一個檢測漏洞的方式更改請求方式,比如之前網(wǎng)站使用的都是get提交方式去請求網(wǎng)站的后端,我們可以偽造參數(shù),抓包修改post提交方式發(fā)送過去,就可以繞過網(wǎng)站之前的安全防護,直接執(zhí)行CSRF惡意代碼,漏洞產(chǎn)生的原因就是,網(wǎng)站開發(fā)者只針對了GET請求方式進行安全攔截,并沒有對post的方式進行攔截,導致漏洞的發(fā)生。有些客戶網(wǎng)站使用了token來防止XSS跨站的攻擊,在設(shè)計token的時候沒有考慮到空值是否可以繞過的問題,導致可以token為空,就可以直接將惡意代碼傳入到后端中去。還有的網(wǎng)站APP沒有token的所屬賬戶進行效驗,導致可以利用其它賬戶的token進行CSRF代碼攻擊。
那如何防止XSS csrf攻擊? 如何修復該網(wǎng)站漏洞
根據(jù)我們SINE安全十多年來總結(jié)下來的經(jīng)驗,針對XSS,csrf漏洞修復方案是:對所有的GET請求,以及POST請求里,過濾非法字符的輸入。'分號過濾 --過濾 %20特殊字符過濾,單引號過濾,%百分號,<>,and過濾,tab鍵值等的的安全過濾。使用token對csrf的請求進行安全效驗與攔截,對token的控制進行邏輯功能判斷,如果發(fā)現(xiàn)token值為空,直接返回404錯誤,或者攔截該值為空的請求,還有要對token的所屬賬戶進行效驗,判斷該token是否為當前賬戶的,如果不是就攔截掉該請求,或者返回錯誤頁面。
使用session與token的雙層安全效驗,如果seeion與token值不對等,與你的加密算法不一致,就將該請求過濾攔截掉,如果兩個的值與加密算出來的值相等,就是合法的請求,但是加密算法一定要隱藏掉,寫入到后端,不要被逆向破解掉。對referer字段進行安全效驗,檢查URL是否是白名單里的,對于referer為空直接攔截掉該請求,URL的白名單要含有WWW,拒絕二級域名的請求。以上就是關(guān)于滲透測試中發(fā)現(xiàn)的xss csrf漏洞修復方案,如果您對網(wǎng)站代碼不是太懂的話,不知道該如何修復漏洞,可以找專業(yè)的網(wǎng)站安全公司來處理解決,國內(nèi)SINESAFE,綠盟,啟明星辰,都是比較不錯的網(wǎng)絡(luò)安全公司,針對漏洞的修復就到這里了,安全提示:網(wǎng)站,APP在上線的同時,一定要對網(wǎng)站進行滲透測試服務(wù),檢測網(wǎng)站存在的漏洞,以及安全隱患,防止后期網(wǎng)站運行中出現(xiàn)一些沒有必要的損失。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!