雖然現(xiàn)在的網(wǎng)站安全防護(hù)技術(shù)已經(jīng)得到了很大的提升，但是相應(yīng)地，一些網(wǎng)站入侵技術(shù)也會(huì)不斷地升級(jí)、進(jìn)化。如何建設(shè)網(wǎng)站，因此，企業(yè)在進(jìn)行網(wǎng)站建設(shè)管理的時(shí)候，一定不可以輕視網(wǎng)站安全這一塊，建議企業(yè)周期性、長(zhǎng)期性地用一些基本方法來(lái)檢測(cè)企業(yè)網(wǎng)站的安全性，確保網(wǎng)站順利、正常地運(yùn)營(yíng)下去。
1.注入漏洞。由于其普遍性和嚴(yán)重性，注入漏洞在Web0漏洞中始終排在位。常見(jiàn)的注入漏洞包括SQL、LDAP、OS命令、ORM和OGNL。用戶可以通過(guò)任何輸入點(diǎn)輸入構(gòu)建的惡意代碼。如果應(yīng)用程序沒(méi)有嚴(yán)格過(guò)濾用戶的輸入，一旦輸入的惡意代碼作為命令或查詢的一部分被發(fā)送到解析器，就可能導(dǎo)致注入漏洞。以SQL注入為例，是因?yàn)楣粽咄ㄟ^(guò)瀏覽器或其他客戶端向網(wǎng)站參數(shù)中插入惡意SQL語(yǔ)句，而網(wǎng)站應(yīng)用程序直接將惡意SQL語(yǔ)句帶入數(shù)據(jù)庫(kù)并執(zhí)行而不進(jìn)行過(guò)濾，終導(dǎo)致通過(guò)數(shù)據(jù)庫(kù)獲取敏感信息或其他惡意操作。

當(dāng)攻擊者通過(guò)API調(diào)用遍歷攻擊系統(tǒng)時(shí)，他們必須弄清楚可以發(fā)送些什么來(lái)獲取數(shù)據(jù)。攻擊者“信奉”這樣的一個(gè)事實(shí)：即越復(fù)雜的系統(tǒng)，出錯(cuò)的地方越多。攻擊者識(shí)別出API后，他們將對(duì)參數(shù)進(jìn)行分類，然后嘗試訪問(wèn)管理員（垂直特權(quán)升級(jí)）或另一個(gè)用戶（水平特權(quán)升級(jí)）的數(shù)據(jù)以收集其他數(shù)據(jù)。通常，太多不必要的參數(shù)被暴露給了用戶。
在近的研究項(xiàng)目中，我們對(duì)目標(biāo)服務(wù)的API調(diào)用返回了大量數(shù)據(jù)，很多都是不必要的數(shù)據(jù)信息，例如付款網(wǎng)關(guān)的處理器密鑰和可用的折扣信息等。這些“獎(jiǎng)勵(lì)信息”使攻擊者可以更好地理解這些API調(diào)用的上下文和語(yǔ)法。攻擊者不需要太多的想象力就能弄清楚下一步該怎么做。這些額外的參數(shù)為攻擊者提供了豐富的攻擊數(shù)據(jù)集。解決方法：如果將用戶看到的內(nèi)容范圍限制為必需內(nèi)容，限制關(guān)鍵數(shù)據(jù)的傳輸，并使數(shù)據(jù)查詢結(jié)構(gòu)未知，那么攻擊者就很難對(duì)他們知道的參數(shù)進(jìn)行爆密。

接下來(lái)還得檢測(cè)網(wǎng)站的各項(xiàng)功能以及APP功能是否存在邏輯漏洞，越權(quán)漏洞，水平垂直等等，我們SINE安全技術(shù)詳細(xì)的對(duì)每一個(gè)功能都測(cè)試很多遍，一次，兩次，多次的反復(fù)進(jìn)行，在用戶重置密碼功能這里發(fā)現(xiàn)有漏洞，正常功能代碼設(shè)計(jì)是這樣的流程，首先會(huì)判斷用戶的賬號(hào)是否存在，以及下一步用戶的是否與數(shù)據(jù)庫(kù)里的一致，這里簡(jiǎn)單地做了一下安全校驗(yàn)，但是在獲取驗(yàn)證碼的時(shí)候并沒(méi)有做安全校驗(yàn)，導(dǎo)致可以post數(shù)據(jù)包，將為任意來(lái)獲取驗(yàn)證碼，利用驗(yàn)證碼來(lái)重置密碼。

早上，我突然被客戶告知，他部署在云平臺(tái)的服務(wù)器被檢測(cè)到webshell，已經(jīng)查殺了，而且云平臺(tái)檢測(cè)到這個(gè)ip是屬于我公司的，以為是我們公司做了測(cè)試導(dǎo)致的，問(wèn)我這個(gè)怎么上傳的webshell，我當(dāng)時(shí)也是一臉懵逼，我記得很清楚這是我的項(xiàng)目，是我親自測(cè)試的，上傳點(diǎn)不會(huì)有遺漏的，然后開(kāi)始了我的排查隱患工作。
巡檢查殺首先，我明白自己要做的不是找到這個(gè)上傳的位置是哪里出現(xiàn)的，我應(yīng)該登上服務(wù)器進(jìn)行webshel查殺，進(jìn)行巡檢，找找看是否被別人入侵了，是否存在后門等等情況。雖然報(bào)的是我們公司的ip，萬(wàn)一漏掉了幾個(gè)webshell，被別人上傳成功了沒(méi)檢測(cè)出來(lái)，那服務(wù)器被入侵了如何能行。所以我上去巡檢了服務(wù)器，上傳這個(gè)webshell查殺工具進(jìn)行查殺，使用netstat-anpt和iptables-L判斷是否存在后門建立，查看是否有程序占用CPU，等等，此處不詳細(xì)展開(kāi)了。萬(wàn)幸的是服務(wù)器沒(méi)有被入侵，然后我開(kāi)始著手思考這個(gè)上傳點(diǎn)是怎么回事。
文檔上傳漏洞回顧首先，我向這個(gè)和我對(duì)接的研發(fā)人員咨詢這個(gè)服務(wù)器對(duì)外開(kāi)放的，要了之后打開(kāi)發(fā)現(xiàn)，眼熟的不就是前不久自己測(cè)試的嗎？此時(shí)，我感覺(jué)有點(diǎn)懵逼，和開(kāi)發(fā)人員對(duì)質(zhì)起這個(gè)整改信息，上次測(cè)試完發(fā)現(xiàn)這個(gè)上傳的地方是使用了白名單限制，只允許上傳jpeg、png等圖片格式了。當(dāng)時(shí)我還發(fā)現(xiàn)，這個(gè)雖然上傳是做了白名單限制，也對(duì)上傳的文檔名做了隨機(jī)數(shù)，還匹配了時(shí)間規(guī)則，但是我還是在返回包發(fā)現(xiàn)了這個(gè)上傳路徑和文檔名，這個(gè)和他提議要進(jìn)行整改，不然這個(gè)會(huì)造成這個(gè)文檔包含漏洞，他和我反饋這個(gè)確實(shí)進(jìn)行整改了，沒(méi)有返回這個(gè)路徑了。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問(wèn)題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.agrivod.com