善良的人妻被部长侵犯,高清播放器app,亚洲天然素人无码专区,欧美护士乱婬av精品一区

上海網(wǎng)站建設(shè)公司上海網(wǎng)站建設(shè)公司

網(wǎng)站漏洞檢測 CSRF代碼攻擊與加固方案

查看次數(shù):745 2020-06-17

XSS跨站以及CSRF攻擊,在目前的滲透測試,以及網(wǎng)站漏洞檢測中 ,經(jīng)常的被爆出有高危漏洞,我們在對客戶網(wǎng)站進(jìn)行滲透測試時,也常有的發(fā)現(xiàn)客戶網(wǎng)站以及APP存在以上的漏洞,其實(shí)CSRF以及XSS跨站很容易被發(fā)現(xiàn)以及利用,在收集客戶網(wǎng)站域名,以及其他信息的時候,大體的注意一些請求操作,前端輸入,get,post請求中,可否插入csrf代碼,以及XSS代碼。


通常我們在滲透測試客戶網(wǎng)站是否存在csrf漏洞,首先采用點(diǎn)擊的形式去測試漏洞,在一個網(wǎng)站功能上利用點(diǎn)擊的方式繞過安全效驗與攔截,從技術(shù)層面上來講,點(diǎn)擊的請求操作來自于信任的網(wǎng)站,是不會對csrf的攻擊進(jìn)行攔截的,也就會導(dǎo)致CSRF攻擊。再一個檢測漏洞的方式更改請求方式,比如之前網(wǎng)站使用的都是get提交方式去請求網(wǎng)站的后端,我們可以偽造參數(shù),抓包修改post提交方式發(fā)送過去,就可以繞過網(wǎng)站之前的安全防護(hù),直接執(zhí)行CSRF惡意代碼,漏洞產(chǎn)生的原因就是,網(wǎng)站開發(fā)者只針對了GET請求方式進(jìn)行安全攔截,并沒有對post的方式進(jìn)行攔截,導(dǎo)致漏洞的發(fā)生。有些客戶網(wǎng)站使用了token來防止XSS跨站的攻擊,在設(shè)計token的時候沒有考慮到空值是否可以繞過的問題,導(dǎo)致可以token為空,就可以直接將惡意代碼傳入到后端中去。還有的網(wǎng)站APP沒有token的所屬賬戶進(jìn)行效驗,導(dǎo)致可以利用其它賬戶的token進(jìn)行CSRF代碼攻擊。


那如何防止XSS csrf攻擊? 如何修復(fù)該網(wǎng)站漏洞

根據(jù)我們十多年來總結(jié)下來的經(jīng)驗,針對XSS,csrf漏洞修復(fù)方案是:對所有的GET請求,以及POST請求里,過濾非法字符的輸入。'分號過濾 --過濾 %20特殊字符過濾,單引號過濾,%百分號,<>,and過濾,tab鍵值等的的安全過濾。使用token對csrf的請求進(jìn)行安全效驗與攔截,對token的控制進(jìn)行邏輯功能判斷,如果發(fā)現(xiàn)token值為空,直接返回404錯誤,或者攔截該值為空的請求,還有要對token的所屬賬戶進(jìn)行效驗,判斷該token是否為當(dāng)前賬戶的,如果不是就攔截掉該請求,或者返回錯誤頁面。


使用session與token的雙層安全效驗,如果seeion與token值不對等,與你的加密算法不一致,就將該請求過濾攔截掉,如果兩個的值與加密算出來的值相等,就是合法的請求,但是加密算法一定要隱藏掉,寫入到后端,不要被逆向破解掉。對referer字段進(jìn)行安全效驗,檢查URL是否是白名單里的,對于referer為空直接攔截掉該請求,URL的白名單要含有WWW,拒絕二級域名的請求。以上就是關(guān)于滲透測試中發(fā)現(xiàn)的xss csrf漏洞修復(fù)方案,如果您對網(wǎng)站代碼不是太懂的話,不知道該如何修復(fù)漏洞,可以找專業(yè)的網(wǎng)站安全公司來處理解決。針對漏洞的修復(fù)就到這里了,安全提示:網(wǎng)站,APP在上線的同時,一定要對網(wǎng)站進(jìn)行滲透測試服務(wù),檢測網(wǎng)站存在的漏洞,以及安全隱患,防止后期網(wǎng)站運(yùn)行中出現(xiàn)一些沒有必要的損失。


【聲明:信息來自網(wǎng)絡(luò),如有侵權(quán),聯(lián)系既刪。】
推薦新聞

H5營銷有什么優(yōu)勢?企業(yè)需要定制開發(fā)H5嗎

2025-03-12

雖然市場上有很多的免費(fèi)H5軟件可以使用,但免費(fèi)終究是免費(fèi)的,功能相對簡單,沒有互動環(huán)節(jié),體驗效果差,當(dāng)你想要增加某項功能時,還要自己招募團(tuán)隊

如何優(yōu)化電子商務(wù)網(wǎng)站的用戶體驗?

2025-03-12

優(yōu)化電子商務(wù)網(wǎng)站的用戶體驗是一個系統(tǒng)工程,涉及網(wǎng)站設(shè)計、功能完善、服務(wù)提升等多個方面,以下是具體的優(yōu)化方法: 網(wǎng)站設(shè)計方面

中小企業(yè)網(wǎng)站在施行電子商務(wù)網(wǎng)站中的8大誤區(qū)

2025-03-12

中小企業(yè)在實(shí)施電子商務(wù)網(wǎng)站時,常常會遇到一些誤區(qū),這些誤區(qū)可能會影響網(wǎng)站的運(yùn)營效果和企業(yè)的整體發(fā)展。電子商務(wù)給中小企業(yè)帶來了與大企業(yè)在

SEO網(wǎng)站優(yōu)化的5個方法技巧你知道嗎?

2025-02-11

隨著互聯(lián)網(wǎng)時代的不斷發(fā)展,企業(yè)建站越來越多,光建好網(wǎng)站還不行,還得做 SEO優(yōu)化工作,才能讓網(wǎng)站有更好的排名效果。但很多人不知道如何優(yōu)化網(wǎng)站

DeepSeek在上海網(wǎng)站建設(shè)中的運(yùn)用

2025-02-11

隨著人工智能技術(shù)的快速發(fā)展,DeepSeek作為一款先進(jìn)的AI工具,正在上海網(wǎng)站建設(shè)領(lǐng)域展現(xiàn)出強(qiáng)大的應(yīng)用潛力。從智能客服到數(shù)據(jù)分析,再到個性

如何搭建政務(wù)服務(wù)網(wǎng)站?政務(wù)服務(wù)網(wǎng)站包含哪些內(nèi)容?

2025-02-11

政務(wù)網(wǎng)致力于向公眾提供政府工作的相關(guān)信息、政策法規(guī)的公開和解讀,促進(jìn)政府與公眾之間的溝通與互動。公眾可以隨時隨地通過網(wǎng)站了解到當(dāng)?shù)卣ぷ鞯?

返回頂部

TOP

QQ客服

QQ客服

上海網(wǎng)站制作公司:電話:021-67637587

021-67637587

開杰做網(wǎng)站
上海網(wǎng)站設(shè)計公司 上海網(wǎng)站設(shè)計公司

Are you ready?


您準(zhǔn)備好了嗎?我們時刻準(zhǔn)備就緒!

我們專注:網(wǎng)站策劃設(shè)計、網(wǎng)絡(luò)多媒體傳播、網(wǎng)站優(yōu)化及網(wǎng)站營銷、品牌策略與設(shè)計
主營業(yè)務(wù):網(wǎng)站建設(shè)、企業(yè)郵箱、網(wǎng)站優(yōu)化、域名注冊、虛擬空間

期待您與我們聯(lián)系!您的咨詢,是對我們極大的鼓勵和支持,也是我們共贏美好未來的開始! 更感謝您對我們的關(guān)注與信賴……

您也可通過下列途徑與我們?nèi)〉寐?lián)系:

電 話: 021-67637587,13817759102 (微信同號)

電 話: 15900942493 (微信同號)

QQ: 632248744 , 273657225

郵 箱: [email protected]

地 址: 上海市松江區(qū)榮樂中路228弄104號

地 址: 上海市閔行區(qū)(莘莊)友情路50弄15號1302室

上海網(wǎng)站建設(shè)
上海網(wǎng)站建設(shè)

上海開杰信息技術(shù)有限公司

電話:021-67637587 15900942493(微信同號)

地址:上海市閔行區(qū)(莘莊)友情路50弄15號1302室

地址:上海市松江區(qū)榮樂中路228弄104號202室

上海開杰信息技術(shù)有限公司 上海網(wǎng)站建設(shè) 電話:021-67637587

地址:上海市松江區(qū)榮樂中路228弄104號202室

地址:上海市閔行區(qū)(莘莊)友情路50弄15號1302

滬公網(wǎng)安備 滬公網(wǎng)安備 31011702001626號 滬ICP備12017671號-4

上海開杰信息技術(shù)有限公司松江分部

電話:021-67637587 15900942493

地址:上海市松江區(qū)榮樂中路228弄104號202室

上海網(wǎng)站設(shè)計公司