系列文章目录
- 信息服务上线渗透检测网络安全检查报告和解决方案
文章目录
- 系列文章目录
- 前言
- 一、XSS漏洞
- 漏洞危害
- 解决方案
- 1.参数过滤
- 2.Cookie设置HttpOnly
- 二、安装文件目录信息泄漏
- 漏洞证明
- 解决方案
- 三、后台管理路径泄漏、暴力破解、明文传输
- 漏洞证明
- 解决方案
- 四、逻辑漏洞
- 漏洞验证
- 解决方案
- 五、弱口令
- 六、任意文件上传
- 解决方案
- (1)上传页面增加token,上传处理程序比对
- (2)后缀白名单
- (3)检测内容是否包含木马
- (4)图片复制
- 总结
前言
临近年关,不知是黑客兄弟们闲来无事,还是各个部门要年总总结,总之是在放假之际,系统漏洞陆续爆出。一言蔽之,总是自己技术不过关考虑不周导致的。
一、XSS漏洞
漏洞危害
- 窃取管理员帐号或Cookie,入侵者可以冒充管理员的身份登录后台。使得入侵者具有恶意操纵后台数据的能力,包括读取、更改、添加、删除一些信息。
- 窃取用户的个人信息或者登录帐号,对网站的用户安全产生巨大的威胁。例如冒充用户身份进行各种操作。
- 网站挂马。先将恶意攻击代码嵌入到Web应用程序之中。当用户浏览该挂马页面时,用户的计算机会被植入木马。
在网址url参数后,如果对相对应的参数未做过滤,即直接执行javascript脚本,给系统带来的潜在风险。如:
http://test.com/?m=User&a=userForget<script>alert(1)</script>
解决方案
- 在表单提交或者url参数传递前,对需要的参数进行过滤;
- 增加前后端验证机制;
1.参数过滤
将常见的威胁系统安全的脚本符合进行过滤,代码如下:
/*** 安全过滤函数* @param $str*/
function safe_replace($str)
{$disallow_str = array('%20', '%27', '%2527', '*', '"', "'", ';', '<', '>', "{", '}', '\\');if (is_array($str)) {return $str;} else {for ($i = 0; $i < count($disallow_str); $i++) {if (stripos($str, $disallow_str[$i]) !== false) {die('传递参数非法,禁止访问。');}}return $str;}
}
2.Cookie设置HttpOnly
HttpOnly是Cookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly的应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。
Cookie的设置方式(本文采用较为简单的一种方式,其他方式另行查询)
SetCookie("admin_name", $row["user_name"], time() + 604800, "/", '', '', TRUE);SetCookie("admin_phone", $row["user_phone"], time() + 604800, "/", '', '', TRUE);SetCookie("admin_id", $row["user_id"], time() + 604800, "/", '', '', TRUE);SetCookie("admin_menu", $row["user_menu"], time() + 604800, "/", '', '', TRUE);二、安装文件目录信息泄漏
漏洞证明
解决方案
这是程序开发约定俗成的常见漏洞,比如:
- 默认索引页是index.php或default.php;
- 默认安装文件夹目录是install;
- 默认后台管理文件目录是admin或manage;
- …
硬币的两面性告诉我们,解决这个问题的根源,就是换一个“你知我知”的文件名称即可。不能改变的,做参数过滤,可以改变的重命名。
三、后台管理路径泄漏、暴力破解、明文传输
漏洞证明
- 管理后台路径泄漏容易让攻击者很快找到后台,获取更多的有价值的信息;
- 检查到目标应用的后台登录入口。管理员应用程序一般用于网站的后台管理,具有全部的权限。这些应用程序可能包含一些敏感信息或具有较低的安全保护,攻击者可以通过该文件获取敏感信息或者进入网站后台,进行恶意操作。
- 明文传输一般存在web网站登录页面,用户名或者密码采用了明文传输,容易被嗅探软件截取。攻击者可能结合中间人攻击,窃取明文传输的密码,从而非授权登录系统,执行破坏性操。
解决方案
- 关闭外网访问后台管理模块 ;
- 登录次数进行限制,例:登录错误超过5次,锁定账户5-10分钟;
- 建议密码传输进行加密,建议使用https、建议在网站前端进行js密码加密加密后在上传;
四、逻辑漏洞
漏洞验证
使用默认密码登录系统后,在强制修改密码时,存在手机验证码验证机制,但手机验证码可以使用bp拦截工具进行获取,从而得到修改密码的功能。
解决方案
直接进行后端校验,不要前端校验完再后端校验。
- 采用session方式生成验证码;
- 限制发送短信和IP绑定的次数;
五、弱口令
弱口令,指用户出于偷懒的行为,随时输入123456、88888等常见,容易被暴力破解字典记录,不费吹灰之力就可以破解的密码。
在用户注册、修改等行为时,系统增加密码验证的强度即可。
<div class="layui-form-item"><label for="L_pass" class="layui-form-label">密码</label><div class="layui-input-inline"><input type="password" id="L_pass" name="pass" lay-verify="pass" autocomplete="off" class="layui-input"></div><div class="layui-form-mid layui-word-aux"><span class="x-red">* 密码必须同时包含大写、小写、数字和特殊字符其中三项且至少6位</span></div></div>
密码必须同时包含大写、小写、数字和特殊字符其中三项且至少6位
form.verify({user_phone: [/^1[3|4|5|6|7|8|9]\d{9}$/, '手机必须11位,只能是数字!'],smscode: [/[\S]+/, "验证码为6位数且5分钟内有效"],pass: [/(?=.*[0-9])(?=.*[a-zA-Z])(?=.*[^a-zA-Z0-9]).{6,30}/, '密码必须同时包含大写、小写、数字和特殊字符其中三项且至少6位'],repass: function(){if($('#L_pass').val()!=$('#L_repass').val()){return '两次密码不一致';}},user_email: [/^([a-zA-Z0-9_\.\-])+\@(([a-zA-Z0-9\-])+\.)+([a-zA-Z0-9]{2,4})+$/, "邮箱格式不正确"],});
六、任意文件上传
解决方案
(1)上传页面增加token,上传处理程序比对
$_SESSION['upToken'] = md5(rand(111111, 999999));
$tpl->assign('upToken', $_SESSION['upToken']);
//01.获取验证tokenif ($token != $_SESSION['upToken'] || $token == "") {$res['code'] = "1";$res['msg'] = "非法传参页面,请刷新重新上传";//$token . 'a-a' . $_SESSION['upToken'];//验证码自动销毁;session_destroy();die(json_encode_lockdata($res));}
<script>var upToken='{$upToken}';
</script>
(2)后缀白名单
//白名单;$allow_type = array('application/pdf', 'image/png', 'image/jpeg', 'video/mp4');$allow_ext = array('pdf', 'jpg', 'png', 'mp4');
//02.服务器端检查上传文件类型;if ($uploaded_tmp == "") {$res['code'] = "1";$res['msg'] = "无法获取上传文件";die(json_encode_lockdata($res));}(3)检测内容是否包含木马
//03.检测内容是否包含木马;if (checkHex($uploaded_tmp) != 0) {$res['code'] = "1";$res['msg'] = "文件包含危险信息";die(json_encode_lockdata($res));}(4)图片复制
//重新制作一张图片,抹去任何可能有危害的数据
if ((strtolower($uploaded_ext) == 'jpg' || strtolower($uploaded_ext) == 'jpeg' || strtolower($uploaded_ext) == 'png') &&($uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png') && getimagesize($uploaded_tmp)) {if ($uploaded_type == 'image/jpeg') {$img = imagecreatefromjpeg($uploaded_tmp);imagejpeg($img, $temp_file, 80);} else {$img = imagecreatefrompng($uploaded_tmp);imagepng($img, $temp_file, 80);}imagedestroy($img);//文件转储;if (rename($temp_file, $imgUrl . "/" . $fileName)) {$res['code'] = "0";$res['imgUrl'] = $imgUrl . "/" . $fileName;$res['data'] = ["src" => $imgUrl . "/" . $fileName, "title" => $fileName];//富文本上传调用$res['msg'] = '上传成功!';die(json_encode_lockdata($res));} else {$res['code'] = "1";$res['msg'] = '上传文件异常';die(json_encode_lockdata($res));}//删除所有暂时文件if (file_exists($temp_file)) {unlink($temp_file);}}
总结
所谓攻防,如果知道攻,那么防是简单的;如果对攻不甚了解,那么就无所谓防。感谢在系统上线,不同网络安全检测团队对系统不同方面的检测和及时反馈,让自己的系统不断的优化和调整,不断地成长。
