Sine安全-网络安全背后的巨人,提供服务器安全_服务器维护_网站安全解决方案

网站逻辑漏洞的安全检测与漏洞修复办法


 
       网站的逻辑漏洞大多数存在于游戏平台、金融平台、商场系统,单独第三方开发的程序里

出现,网站逻辑漏洞怎么形成的呢?是由于网站开发人员在设计代码的时候,对一些网站的功

能代码设计上太简单,没有多层的安全判断。一个大平台的开发,功能上是比较多的,难免会有

遗漏的时候,在代码上没有严格的判断与过滤,导致逻辑漏洞。
 
 
网站逻辑漏洞一般利用网站安全扫描工具是扫描不到的,这种网站漏洞不是像sql注入漏洞,

XSS跨站,csrf漏洞那样通过工具进行网站安全检测可以检测的到,通过判读返回的代码数据

进行漏洞确认,逻辑漏洞是需要人工对网站安全进行审计,才能检测出逻辑漏洞。一般出现网

站的功能上,像网站会员资料修改,会员银行卡绑定,会员提现,会员下注,密码修改,越权

访问上。Sine安全公司是一家专注于:服务器安全、网站安全、网站安全检测、网站漏洞修复,

渗透测试,安全服务于一体的网络安全服务提供商。

 
 
越权访问是逻辑漏洞的一种,分水平与垂直越权,网站在处理用户的操作请求时,没有对用户

的权限进行安全验证,使任意用户可以操作其他同一水平权限上的用户数据。垂直权限,是指

用户可以操作比自己高权限的账号的数据。水平越权逻辑漏洞,与垂直越权逻辑漏洞,发生在

用户在操作请求时,是否对当前登录的账号权限进行安全验证,从而确定网站是否存在漏洞。
 
 
逻辑漏洞也可以说是隐藏性的BUG,如果被攻击者利用,危害是巨大的,也给网站运营上带来

沉重的打击,像用户的密码任意修改,越权访问管理员的后台页面,随意的找回任意用户的密

码,银行卡任意提前,注单随意更改漏洞。
 
 
如何安全检测逻辑漏洞?
 
逻辑漏洞在网站的各个功能里面都会可能出现,比如修改个人资料里,可以越权修改其他用户的

资料,那么作为网站安全运营者,该如何检测逻辑漏洞呢?

 
首先对网站的所有功能进行人工安全测试,比如从:用户注册功能、个人资料修改、密码修改、

密码找回功能、银行卡绑定功能等等。Sine安全公司是一家专注于:服务器安全、网站安全、网

站安全检测、网站漏洞修复,渗透测试,安全服务于一体的网络安全服务提供商。
拦截http请求里的

数据,并认真分析这些参数对应的值,看是否存在一些没有做安全验证的操作参数,手动修改get

post里的请求,修改任何可能形成漏洞的参数,一一测试,查看get post的返回的数据,来确定是

否存在逻辑漏洞。
 
 
网站逻辑漏洞修复,简单来说在获取当前登录用户的时候,对该用户的身份进行确认,以及安全验

证该用户是否存在操作的权限,在请求中加以token随机值在服务器端对每一次的请求进行token效验。
分享: