許多客戶在網(wǎng)站，以及APP上線的同時(shí)，都會(huì)提前的對(duì)網(wǎng)站進(jìn)行全面的滲透測(cè)試以及安全檢測(cè)，提前檢測(cè)出存在的網(wǎng)站漏洞，以免后期網(wǎng)站發(fā)展過(guò)程中出現(xiàn)重大的經(jīng)濟(jì)損失，前段時(shí)間有客戶找到我們SINE安全公司做滲透測(cè)試服務(wù)，在此我們將把對(duì)客戶的整個(gè)滲透測(cè)試過(guò)程以及安全測(cè)試，發(fā)現(xiàn)的漏洞都記錄下來(lái)，分享給大家，也希望大家更深地去了解滲透測(cè)試。
接下來(lái)還得檢測(cè)網(wǎng)站的各項(xiàng)功能以及APP功能是否存在邏輯漏洞，越權(quán)漏洞，水平垂直等等，我們SINE安全技術(shù)詳細(xì)的對(duì)每一個(gè)功能都測(cè)試很多遍，一次，兩次，多次的反復(fù)進(jìn)行，在用戶重置密碼功能這里發(fā)現(xiàn)有漏洞，正常功能代碼設(shè)計(jì)是這樣的流程，首先會(huì)判斷用戶的賬號(hào)是否存在，以及下一步用戶的是否與數(shù)據(jù)庫(kù)里的一致，這里簡(jiǎn)單地做了一下安全校驗(yàn)，但是在獲取驗(yàn)證碼的時(shí)候并沒有做安全校驗(yàn)，導(dǎo)致可以post數(shù)據(jù)包，將為任意來(lái)獲取驗(yàn)證碼，利用驗(yàn)證碼來(lái)重置密碼。

其實(shí)從開發(fā)的角度，如果要保證代碼至少在邏輯方面沒有明顯的漏洞，還是有些繁瑣的。舉個(gè)簡(jiǎn)單的例子，如網(wǎng)站的數(shù)據(jù)檢驗(yàn)功能，不允許前端提交不符合當(dāng)前要求規(guī)范的數(shù)據(jù)（比如年齡文本框部分不能提交字母）。那么為了實(shí)現(xiàn)這個(gè)功能，首先開發(fā)者肯定要在前端實(shí)現(xiàn)該功能，直接在前端阻止用戶提交不符規(guī)范的數(shù)據(jù)，否則用戶體驗(yàn)會(huì)很差，且占用服務(wù)器端的資源。
但是沒有安全意識(shí)或覺得麻煩的開發(fā)者就會(huì)僅僅在前端用Js進(jìn)行校驗(yàn)，后端沒有重復(fù)進(jìn)行校驗(yàn)。這樣就很容易給惡意用戶機(jī)會(huì)：比如不通過(guò)前端頁(yè)面，直接向后端接口發(fā)送數(shù)據(jù)：或者，前端代碼編寫不規(guī)范，用戶可以直接在瀏覽器控制臺(tái)中用自己寫的Js代碼覆蓋原有的Js代碼；或者，用戶還可以直接在瀏覽器中禁用Js；等等?？傊?，前端的傳過(guò)來(lái)的數(shù)據(jù)可信度基本上可以認(rèn)為比較低，太容易被利用了。
而我的思路都是很簡(jiǎn)單的，就是關(guān)注比較重要的幾個(gè)節(jié)點(diǎn)，看看有沒有可乘之機(jī)。如登錄、權(quán)限判定、數(shù)據(jù)加載等前后，對(duì)方是怎么做的，用了什么樣的技術(shù)，有沒有留下很明顯的漏洞可以讓我利用。像這兩個(gè)網(wǎng)站，加載的Js文檔都沒有進(jìn)行混淆，注釋也都留著，還寫得很詳細(xì)。比較湊巧的是，這兩個(gè)網(wǎng)站都用到了比較多的前端的技術(shù)，也都用到了sessionStorage。

中小企業(yè)安全防護(hù)薄弱，抗擊打能力不強(qiáng)
據(jù)相關(guān)數(shù)據(jù)顯示，超過(guò) 90%的企業(yè)完全或高度依靠互聯(lián)網(wǎng)開展業(yè)務(wù)，科技/互聯(lián)網(wǎng)、金融、電信是對(duì)互聯(lián)網(wǎng)依存度高的行業(yè)，而其中創(chuàng)業(yè)型小微企業(yè)（50 人以內(nèi)）更甚，互聯(lián)網(wǎng)成為這些類型企業(yè)發(fā)展的重要根基。而這些企業(yè)，并沒有的技術(shù)團(tuán)隊(duì)運(yùn)維，往往是交給建站公司管理，或自己租用個(gè)主機(jī)就發(fā)布。

同樣地，由于可用的參數(shù)太多，收集數(shù)據(jù)將成為顯而易見的下一步行動(dòng)。許多企業(yè)的系統(tǒng)支持匿名連接，并且傾向泄漏普通用戶不需要的額外數(shù)據(jù)。另外，許多企業(yè)傾向于存儲(chǔ)可以直接訪問(wèn)的數(shù)據(jù)。安全人員正在努力應(yīng)對(duì)API請(qǐng)求經(jīng)常暴露數(shù)據(jù)存儲(chǔ)位置的挑戰(zhàn)。例如，當(dāng)我查看安全攝像機(jī)中的視頻時(shí)，可以看到該信息來(lái)自AmazonS3存儲(chǔ)庫(kù)。通常，那些S3存儲(chǔ)庫(kù)的保護(hù)并不周全，任何人的數(shù)據(jù)都可以被檢索。
另一個(gè)常見的數(shù)據(jù)挑戰(zhàn)是數(shù)據(jù)過(guò)載，很多企業(yè)都像入冬前的花栗鼠，存儲(chǔ)的數(shù)據(jù)量遠(yuǎn)遠(yuǎn)超出了需要。很多過(guò)期用戶數(shù)據(jù)已經(jīng)沒有商業(yè)價(jià)值和保存價(jià)值，但是如果發(fā)生泄密，則會(huì)給企業(yè)帶來(lái)巨大的和合規(guī)風(fēng)險(xiǎn)。解決方法：對(duì)于存儲(chǔ)用戶數(shù)據(jù)的企業(yè)，不僅僅是PII或PHI，都必須進(jìn)行徹底的數(shù)據(jù)審查。在檢查了存儲(chǔ)的數(shù)據(jù)之后，應(yīng)制定數(shù)據(jù)訪問(wèn)規(guī)則并進(jìn)行測(cè)試。確保能夠匿名訪問(wèn)的數(shù)據(jù)不涉及任何敏感數(shù)據(jù)。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.cxftmy.com