XSS跨站以及CSRF攻擊,在目前的滲透測(cè)試,以及網(wǎng)站漏洞檢測(cè)中 ,經(jīng)常的被爆出有高危漏洞,我們SINE安全公司在對(duì)客戶網(wǎng)站進(jìn)行滲透測(cè)試時(shí),也常有的發(fā)現(xiàn)客戶網(wǎng)站以及APP存在以上的漏洞,其實(shí)CSRF以及XSS跨站很容易被發(fā)現(xiàn)以及利用,在收集客戶網(wǎng)站域名,以及其他信息的時(shí)候,大體的注意一些請(qǐng)求操作,前端輸入,get,post請(qǐng)求中,可否插入csrf代碼,以及XSS代碼。
很多客戶的網(wǎng)站都有做一些安全的過濾,都是做一些惡意參數(shù)的攔截,檢測(cè)的字段也都是referer檢測(cè)以及post內(nèi)容檢測(cè),在http頭,cookies上并沒有做詳細(xì)的安全效驗(yàn)與過濾,今天主要講一講如何檢測(cè)csrf漏洞以及csrf防護(hù)辦法,防止xss csrf的攻擊。
通常我們SINE安全在滲透測(cè)試客戶網(wǎng)站是否存在csrf漏洞,首先采用點(diǎn)擊的形式去測(cè)試漏洞,在一個(gè)網(wǎng)站功能上利用點(diǎn)擊的方式繞過安全效驗(yàn)與攔截,從技術(shù)層面上來講,點(diǎn)擊的請(qǐng)求操作來自于信任的網(wǎng)站,是不會(huì)對(duì)csrf的攻擊進(jìn)行攔截的,也就會(huì)導(dǎo)致CSRF攻擊。再一個(gè)檢測(cè)漏洞的方式更改請(qǐng)求方式,比如之前網(wǎng)站使用的都是get提交方式去請(qǐng)求網(wǎng)站的后端,我們可以偽造參數(shù),抓包修改post提交方式發(fā)送過去,就可以繞過網(wǎng)站之前的安全防護(hù),直接執(zhí)行CSRF惡意代碼,漏洞產(chǎn)生的原因就是,網(wǎng)站開發(fā)者只針對(duì)了GET請(qǐng)求方式進(jìn)行安全攔截,并沒有對(duì)post的方式進(jìn)行攔截,導(dǎo)致漏洞的發(fā)生。有些客戶網(wǎng)站使用了token來防止XSS跨站的攻擊,在設(shè)計(jì)token的時(shí)候沒有考慮到空值是否可以繞過的問題,導(dǎo)致可以token為空,就可以直接將惡意代碼傳入到后端中去。還有的網(wǎng)站APP沒有token的所屬賬戶進(jìn)行效驗(yàn),導(dǎo)致可以利用其它賬戶的token進(jìn)行CSRF代碼攻擊。
那如何防止XSS csrf攻擊? 如何修復(fù)該網(wǎng)站漏洞
根據(jù)我們SINE安全十多年來總結(jié)下來的經(jīng)驗(yàn),針對(duì)XSS,csrf漏洞修復(fù)方案是:對(duì)所有的GET請(qǐng)求,以及POST請(qǐng)求里,過濾非法字符的輸入。'分號(hào)過濾 --過濾 %20特殊字符過濾,單引號(hào)過濾,%百分號(hào),<>,and過濾,tab鍵值等的的安全過濾。使用token對(duì)csrf的請(qǐng)求進(jìn)行安全效驗(yàn)與攔截,對(duì)token的控制進(jìn)行邏輯功能判斷,如果發(fā)現(xiàn)token值為空,直接返回404錯(cuò)誤,或者攔截該值為空的請(qǐng)求,還有要對(duì)token的所屬賬戶進(jìn)行效驗(yàn),判斷該token是否為當(dāng)前賬戶的,如果不是就攔截掉該請(qǐng)求,或者返回錯(cuò)誤頁面。
使用session與token的雙層安全效驗(yàn),如果seeion與token值不對(duì)等,與你的加密算法不一致,就將該請(qǐng)求過濾攔截掉,如果兩個(gè)的值與加密算出來的值相等,就是合法的請(qǐng)求,但是加密算法一定要隱藏掉,寫入到后端,不要被逆向破解掉。對(duì)referer字段進(jìn)行安全效驗(yàn),檢查URL是否是白名單里的,對(duì)于referer為空直接攔截掉該請(qǐng)求,URL的白名單要含有WWW,拒絕二級(jí)域名的請(qǐng)求。以上就是關(guān)于滲透測(cè)試中發(fā)現(xiàn)的xss csrf漏洞修復(fù)方案,如果您對(duì)網(wǎng)站代碼不是太懂的話,不知道該如何修復(fù)漏洞,可以找專業(yè)的網(wǎng)站安全公司來處理解決,國內(nèi)SINESAFE,綠盟,啟明星辰,都是比較不錯(cuò)的網(wǎng)絡(luò)安全公司,針對(duì)漏洞的修復(fù)就到這里了,安全提示:網(wǎng)站,APP在上線的同時(shí),一定要對(duì)網(wǎng)站進(jìn)行滲透測(cè)試服務(wù),檢測(cè)網(wǎng)站存在的漏洞,以及安全隱患,防止后期網(wǎng)站運(yùn)行中出現(xiàn)一些沒有必要的損失。
www.abbmm.com
我們專注高端建站,小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對(duì)接開發(fā)等。十余年開發(fā)經(jīng)驗(yàn),每一個(gè)項(xiàng)目承諾做到滿意為止,多一次對(duì)比,一定讓您多一份收獲!