XSS跨站以及CSRF攻擊，在目前的滲透測試，以及網(wǎng)站漏洞檢測中 ，經(jīng)常的被爆出有高危漏洞，我們在對客戶網(wǎng)站進行滲透測試時，也常有的發(fā)現(xiàn)客戶網(wǎng)站以及APP存在以上的漏洞，其實CSRF以及XSS跨站很容易被發(fā)現(xiàn)以及利用，在收集客戶網(wǎng)站域名，以及其他信息的時候，大體的注意一些請求操作，前端輸入，get,post請求中，可否插入csrf代碼，以及XSS代碼。

通常我們在滲透測試客戶網(wǎng)站是否存在csrf漏洞，首先采用點擊的形式去測試漏洞，在一個網(wǎng)站功能上利用點擊的方式繞過安全效驗與攔截，從技術(shù)層面上來講，點擊的請求操作來自于信任的網(wǎng)站，是不會對csrf的攻擊進行攔截的，也就會導(dǎo)致CSRF攻擊。再一個檢測漏洞的方式更改請求方式，比如之前網(wǎng)站使用的都是get提交方式去請求網(wǎng)站的后端，我們可以偽造參數(shù)，抓包修改post提交方式發(fā)送過去，就可以繞過網(wǎng)站之前的安全防護，直接執(zhí)行CSRF惡意代碼，漏洞產(chǎn)生的原因就是，網(wǎng)站開發(fā)者只針對了GET請求方式進行安全攔截，并沒有對post的方式進行攔截，導(dǎo)致漏洞的發(fā)生。有些客戶網(wǎng)站使用了token來防止XSS跨站的攻擊，在設(shè)計token的時候沒有考慮到空值是否可以繞過的問題，導(dǎo)致可以token為空，就可以直接將惡意代碼傳入到后端中去。還有的網(wǎng)站APP沒有token的所屬賬戶進行效驗，導(dǎo)致可以利用其它賬戶的token進行CSRF代碼攻擊。

那如何防止XSS csrf攻擊？ 如何修復(fù)該網(wǎng)站漏洞

根據(jù)我們十多年來總結(jié)下來的經(jīng)驗，針對XSS，csrf漏洞修復(fù)方案是：對所有的GET請求，以及POST請求里，過濾非法字符的輸入。'分號過濾 --過濾 %20特殊字符過濾，單引號過濾，%百分號，<>,and過濾，tab鍵值等的的安全過濾。使用token對csrf的請求進行安全效驗與攔截，對token的控制進行邏輯功能判斷，如果發(fā)現(xiàn)token值為空，直接返回404錯誤，或者攔截該值為空的請求，還有要對token的所屬賬戶進行效驗，判斷該token是否為當(dāng)前賬戶的，如果不是就攔截掉該請求，或者返回錯誤頁面。

使用session與token的雙層安全效驗，如果seeion與token值不對等，與你的加密算法不一致，就將該請求過濾攔截掉，如果兩個的值與加密算出來的值相等，就是合法的請求，但是加密算法一定要隱藏掉，寫入到后端，不要被逆向破解掉。對referer字段進行安全效驗，檢查URL是否是白名單里的，對于referer為空直接攔截掉該請求，URL的白名單要含有WWW，拒絕二級域名的請求。以上就是關(guān)于滲透測試中發(fā)現(xiàn)的xss csrf漏洞修復(fù)方案，如果您對網(wǎng)站代碼不是太懂的話，不知道該如何修復(fù)漏洞，可以找專業(yè)的網(wǎng)站安全公司來處理解決。針對漏洞的修復(fù)就到這里了，安全提示：網(wǎng)站，APP在上線的同時，一定要對網(wǎng)站進行滲透測試服務(wù)，檢測網(wǎng)站存在的漏洞，以及安全隱患，防止后期網(wǎng)站運行中出現(xiàn)一些沒有必要的損失。

分享題目：網(wǎng)站漏洞檢測 CSRF代碼攻擊與加固方案
標(biāo)題鏈接：http://aaarwkj.com/news/36665.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號、網(wǎng)站內(nèi)鏈、電子商務(wù)、品牌網(wǎng)站設(shè)計、虛擬主機、營銷型網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)