服务人工
漏洞检测项目所有
优势解决不掉
APP漏洞检测支持
服务地区全国
SINE安全对网站漏洞检测具有的安全技术人员,而且完全不依靠软件去扫描,所有漏洞检测服务都是由我们人工去检测,比如对代码进行审计,以及都每个网站或APP的功能进行单独的详细测试,如跨权限漏洞,支付漏洞绕过,订单价格被篡改,或订单支付状态之类的,或会员找回密码这里被强制找回等,还有一些逻辑漏洞,上传漏洞,垂直权限漏洞等等。
早上,我突然被客户告知,他部署在云平台的服务器被检测到webshell,已经查杀了,而且云平台检测到这个ip是属于我公司的,以为是我们公司做了测试导致的,问我这个怎么上传的webshell,我当时也是一脸懵逼,我记得很清楚这是我的项目,是我亲自测试的,上传点不会有遗漏的,然后开始了我的排查隐患工作。
巡检查杀首先,我明白自己要做的不是找到这个上传的位置是哪里出现的,我应该登上服务器进行webshel查杀,进行巡检,找找看是否被别人入侵了,是否存在后门等等情况。虽然报的是我们公司的ip,万一漏掉了几个webshell,被别人上传成功了没检测出来,那服务器被入侵了如何能行。所以我上去巡检了服务器,上传这个webshell查杀工具进行查杀,使用netstat-anpt和iptables-L判断是否存在后门建立,查看是否有程序占用CPU,等等,此处不详细展开了。万幸的是服务器没有被入侵,然后我开始着手思考这个上传点是怎么回事。
文档上传漏洞回顾首先,我向这个和我对接的研发人员咨询这个服务器对外开放的,要了之后打开发现,眼熟的不就是前不久自己测试的吗?此时,我感觉有点懵逼,和开发人员对质起这个整改信息,上次测试完发现这个上传的地方是使用了白名单限制,只允许上传jpeg、png等图片格式了。当时我还发现,这个虽然上传是做了白名单限制,也对上传的文档名做了随机数,还匹配了时间规则,但是我还是在返回包发现了这个上传路径和文档名,这个和他提议要进行整改,不然这个会造成这个文档包含漏洞,他和我反馈这个确实进行整改了,没有返回这个路径了。
启动一个新是一个令人兴奋的项目,充满了许多重要的步骤和决定。但是,作为的所有者,您不仅要处理被入侵的后果,还要对其页面上的内容以及人们用来与之交互的机制负责。如果您计划存储用户信息(例如密码或电话号码),则必须妥善保护这些数据,否则根据某些法律,您可能会因数据泄露事件而受到罚款。
选择可靠的主机服务商
在互联网发展的早期,个人和公司将在本地化的数据中心或办公室中获取和维护自己的服务器,而云计算从根本上转变了这种模式,大多数的现在都是通过第三方提供商托管。云计算降低了所有者的管理成本和责任,也带来了一些安全问题。如提供商遭受数据泄露或整个数据中心出现故障,您的可能会丢失重要信息,因此,选择一个可靠的主机服务商至关重要。
同样地,由于可用的参数太多,收集数据将成为显而易见的下一步行动。许多企业的系统支持匿名连接,并且倾向泄漏普通用户不需要的额外数据。另外,许多企业倾向于存储可以直接访问的数据。安全人员正在努力应对API请求经常暴露数据存储位置的挑战。例如,当我查看安全摄像机中的视频时,可以看到该信息来自AmazonS3存储库。通常,那些S3存储库的保护并不周全,任何人的数据都可以被检索。
另一个常见的数据挑战是数据过载,很多企业都像入冬前的花栗鼠,存储的数据量远远超出了需要。很多过期用户数据已经没有商业价值和保存价值,但是如果发生泄密,则会给企业带来巨大的品牌和合规风险。解决方法:对于存储用户数据的企业,不仅仅是PII或PHI,都必须进行彻底的数据审查。在检查了存储的数据之后,应制定数据访问规则并进行测试。确保能够匿名访问的数据不涉及任何敏感数据。
其实从开发的角度,如果要保证代码至少在逻辑方面没有明显的漏洞,还是有些繁琐的。举个简单的例子,如网站的数据检验功能,不允许前端提交不符合当前要求规范的数据(比如年龄文本框部分不能提交字母)。那么为了实现这个功能,首先开发者肯定要在前端实现该功能,直接在前端阻止用户提交不符规范的数据,否则用户体验会很差,且占用服务器端的资源。
但是没有安全意识或觉得麻烦的开发者就会仅仅在前端用Js进行校验,后端没有重复进行校验。这样就很容易给恶意用户机会:比如不通过前端页面,直接向后端接口发送数据:或者,前端代码编写不规范,用户可以直接在浏览器控制台中用自己写的Js代码覆盖原有的Js代码;或者,用户还可以直接在浏览器中禁用Js;等等。总之,前端的传过来的数据可信度基本上可以认为比较低,太容易被利用了。
而我的思路都是很简单的,就是关注比较重要的几个节点,看看有没有可乘之机。如登录、权限判定、数据加载等前后,对方是怎么做的,用了什么样的技术,有没有留下很明显的漏洞可以让我利用。像这两个网站,加载的Js文档都没有进行混淆,注释也都留着,还写得很详细。比较凑巧的是,这两个网站都用到了比较多的前端的技术,也都用到了sessionStorage。
SINE安全网站漏洞检测时必须要人工去审计漏洞和查找漏洞找出问题所在并修复漏洞,对各项功能都进行了全面的安全检测。
http://www.qdshtddzkj.com
