当前位置:搜启云 > 网站建设 > [网站漏洞检测]对网站漏洞扫描与检测的过程与步骤

[网站漏洞检测]对网站漏洞扫描与检测的过程与步骤

发表日期:2019-11-01

  天气越来越凉爽,在对客户网站代码进行渗透测试,漏洞测试的同时我们SINE安全渗透技术要对客户的网站源代码进行全方位的安全检测与审计,只有真正的了解网站,才能更好的去渗透测试,发现网站存在的漏洞,尽可能的让客户的网站在上线之前,安全防护做到最极致.在后期的网站,平台快速发展过程中,避免重大的漏洞导致的经济损失.
 
  首先分享一下我们SINE安全前段时间对客户的金融平台的渗透测试过程,在审计代码的时候发现了问题,首先看到的是客户网站采用的php语言+mysql数据库,前端还使用了VUEJS框架,在进行渗透测试前,我们要检查客户网站的源代码是否加密以及混淆,再一个查看php文件是否对应的URL地址,是调用的,还是单独的PHP功能页面,还有入口文件和index.php首页访问页面的代码是否一致化.接着要了解的是整个金融平台网站的目录,都包含哪些功能目录,这次我们检查到的,客户网站有会员注册功能,头像上传功能,银行卡添加,充值,提现,投资记录,意见与反馈,个人资料修改等等功能.
  我们SINE安全在进行网站代码的安全审计,采用的审计方法是敏感函数以及传输值的追踪与调试的办法去查看代码是否含有恶意代码以及存在的漏洞隐患,是否可导致产生网站漏洞,包括一些逻辑漏洞,垂直,平行越权漏洞的产生.
 
  在大体的代码审计一遍后发现有些PHP文件存在SQL注入漏洞,没有开关闭合引号,导致可以前端传入恶意的参数值,并传入到数据库中进行执行,尤其新闻公告栏目里newxinxi.php?id=18,打开后是直接调用数据库里的新闻内容,但是ID这个值没有限制输入中文以及特殊字符,导致直接执行到后端的数据库当中去了,我们SINE安全技术随即对客户的网站漏洞进行了修复,限制ID=的值为数字,不允许输入中文等特殊字符.在充值,以及提现功能里,我们发现客户的网站代码并没有对数字的正负号进行限制,导致可以输入负号进行充值,以及提现,在实际的渗透测试中发现提现中输入负数,可以导致个人账户里的金额增加,后台并没有审核提现的功能.而是直接执行了提现功能.
 
  

相关网站设计案例

相关新闻

[首页网]如何才能将营销型网站优化到搜索引擎首页

跟着互联网的普及,我们查找信息时,都习气通过查找引擎查找,只要输入所需...

日期:2019-12-23

[互联网的推广]中小企业的网站应该如何做好网络营销推广?

只需搜索引擎不倒,那么网站还有个人博客也会一贯存在,保护一个网站也是许...

日期:2019-12-23

[关键词优化排名软件]网站优化如何才能提高关键词排名

跟着互联网的开展,各行各业对网站的注重度也越来越高,网站制作可直接交予...

日期:2019-12-23

[网站优化方案]具体seo优化方案是什么样子的呢

所谓的搜索引擎优化优化,中文意义是指搜索引擎优化,是网络营销中最重要的...

日期:2019-12-23

[网站自然优化]网站自然排名优化怎么下手呢?看过来

优化服务首要针对新网站或要害词转化率低的网站进行,优化常常要一年半载才...

日期:2019-12-23

[网络的好处]网络优化对企业有何好处优势?

近年来,由于互联网的发展,越来越多的企业看到商机,与一些企业一同开始培...

日期:2019-12-23

网络营销方案]网络营销策划方案

网络营销策划案是为了到达营销方针而策划的综合性的、可操作的网络营销策略...

日期:2019-12-23

[搜索引擎优化]seo优化方法主要有哪些

很多搜索引擎优化新手其实都想知道搜索引擎优化优化的办法,可是这个问题其...

日期:2019-12-23

[网站搜索优化]网站优化快速上首页的7种技巧方法,三分钟读懂快

网站快速上主页一直以来都是SEOer所担忧的问题,怎样优化网站才干快速上主...

日期:2019-12-23

[百度seo]如何使用百度搜索资源平台帮助我们做好百度的SEO优化

百度查找资源渠道也便是以前的百度站长东西,其能够协助站长和SEOer更好的...

日期:2019-12-23

收缩
  • 电话咨询

  • 18520102000