客戶公司用測評軟體測評了我們的項目,發現幾個安全漏洞,sql注入和xss攻擊的,我看了出現安全漏洞的服務端程式碼,發現基本上都是頁面向服務端發送get或post資料的地方出現的漏洞,後端接收資料用的是CI框架自帶的input類,可以過濾使用者輸入的訊息,而且CI的csrf
設定項也已經開啟
測試工具:
漏洞概況:
有幾個頭痛的地方:
原先接收get
和post
資料的程式碼是這樣寫的$this->input->get('section_id)
,專案中的其他地方都是這樣接收的,按理說是已經做了過濾和安全防範的,為什麼還會出現這樣的漏洞?
如果服務端接收get、post
資料這裡出了問題,那理應專案中所有採用這種方式的地方全都應該有漏洞才對,為什麼只有極個別地方出現了這樣的漏洞?
客戶只看檢測數據,我該如何向他們解釋和溝通?
求指教~
客戶公司用測評軟體測評了我們的項目,發現幾個安全漏洞,sql注入和xss攻擊的,我看了出現安全漏洞的服務端程式碼,發現基本上都是頁面向服務端發送get或post資料的地方出現的漏洞,後端接收資料用的是CI框架自帶的input類,可以過濾使用者輸入的訊息,而且CI的csrf
設定項也已經開啟
測試工具:
漏洞概況:
有幾個頭痛的地方:
原先接收get
和post
資料的程式碼是這樣寫的$this->input->get('section_id)
,專案中的其他地方都是這樣接收的,按理說是已經做了過濾和安全防範的,為什麼還會出現這樣的漏洞?
如果服務端接收get、post
資料這裡出了問題,那理應專案中所有採用這種方式的地方全都應該有漏洞才對,為什麼只有極個別地方出現了這樣的漏洞?
客戶只看檢測數據,我該如何向他們解釋和溝通?
求指教~
1 這種測試軟體的判斷不一定準確,一般他只判斷片接不同的語句返還的結果的字符長度是否相同來判斷是否存在註入
2 不要太相信什麼框架不框架,安全這一塊要自己做全域過濾
3 他這裡偵測的xss 都不是儲存型的,危險度沒那麼高。像這種最多被用作跳板
4 客戶要的只是報告上沒有漏洞的心裡安慰而已。
5 如果你只是想讓他掃描不到漏洞。在程式入口寫入日誌文件,記錄所有請求以及參數,來分析這個掃描軟體是如何來判斷是否有漏洞的。
6 修改掃描軟體的報告上的漏洞,個人經驗這個應該是你傳遞的參數沒有intval
7 關閉mysql 錯誤提示,防止報錯注入
防範
1 在程式加入全域sql關鍵字過濾
2 開啟PHP單引號轉義(修改php.ini magic_quotes_gpc)。
3 apache/nginx/iis開啟服務日誌,mysql慢查詢日誌,程式入口記錄請求日誌
4 伺服器安裝安全狗等web應用安全軟體
5 資料庫連結方式使用UTF-8 防止gbk雙字節注入
6 增強mysql密碼的複雜度,禁止mysql外鏈,更改預設連接埠號碼
7 給程式mysql帳號做降權,只給普通的增刪查改權限。禁止給文件操作權限
XSS跨站攻擊解決方案
1 有文字寫入的地方運用htmlspecialchars 轉義
2 利用SSL禁止載入引用外部js
3 設定httponly 禁止取得cookie
4 已上是確保沒有註入的情況(如果存在註入,是可以利用16進制繞過htmlspecialchars 達到xss攻擊的效果)
5 後台和前台最好使用2套路由規則不一樣的程序,後台關鍵操作(備份數據庫)應該設置二級密碼,和增加請求參數的複雜度,防止CSRF
PHP 安全性
1 上傳檔案的地方增加後綴過濾,過濾時不要做「邏輯非」判斷。
2 禁止上傳後綴php,htaccess的文件,不要使用客戶端提交過來的資料獲取文件名後綴,應該用程式做添加後綴以及隨機文件名
3 統一路由,限制越權訪問。 webroot目錄對外防問的只能有一個index.php(入口文件),其它所有目錄,禁止外部防問,所有資源(上傳)文件,在nginx 加上防盜鏈功能
4 PHP降權處理,web目錄限制創建資料夾和文字(程式所需的資料夾除外,一般都會有一個快取目錄需要可寫權限)
5 對IIS/nginx 檔案解析漏洞利用做過濾
6 找回密碼使用手機驗證碼找回,郵箱找回應該用額外的伺服器。 (防止透過找回密碼的功能得到真實ip)。最後發送給使用者信箱的重設密碼的連結需要有一個複雜的加密參數
7 使用者登入系統應該要做單一登入功能,如果使用者已登錄,其他人再次登入是應該給與提示。
8
1 安全常識
1 web應用使用站庫分離,更改環境web目錄的預設路徑
2 當使用集成環境時,安裝完成後應該刪掉php探針,以及phpmyadmin,phpinfo(探針可以查看你的web路徑,phpmyadmin可以暴力破解)
2 用戶密碼最好採用密碼加鹽之後的md5值
3 用戶登陸的地方增加驗證碼,怎麼加錯誤次數限制,防止暴力破解
4 使用cdn加速隱藏真實ip
5使用者登陸的時候,不要傳遞明文帳號密碼,防止C端嗅探,透過ARP欺騙取得使用者以及管理員明文帳號密碼
6 停用php系統指令行數exec,system 等
7 伺服器上裝安全狗等安全防護軟體
8 web目錄禁止存放.rar,zip檔
我對RSAS和BVS了解來說,你這個問題不修復一直會掃描到,而最根本的辦法就是解決掉這些問題,自己去發現漏洞,客戶擔心可能不是別人攻擊他,而是內部人利用漏洞做後門程序,有些客戶極少的留有解釋的空間。