網站漏洞檢測_滲透對網站漏洞掃描與檢測的過程與步驟

天氣越來越涼爽，在對客戶網站代碼進行滲透，漏洞的同時我們SINE安全滲透技術要對客戶的網站源代碼進行全方位的安全檢測與審計，只有真正的了解網站，才能更好的去滲透，發(fā)現(xiàn)網站存在的漏洞，盡可能的讓客戶的網站在上線之前，安全防護做到較極致.在后期的網站，平臺快速發(fā)展過程中，避免重大的漏洞導致的經濟損失.

首先分享一下我們SINE安全前段時間對客戶的金融平臺的滲透過程，在審計代碼的時候發(fā)現(xiàn)了問題，首先看到的是客戶網站采用的php語言+mysql數(shù)據(jù)庫，前端還使用了VUE 框架，在進行滲透前，我們要檢查客戶網站的源代碼是否加密以及混淆，再一個查看php文件是否對應的URL地址，是調用的，還是單獨的PHP功能頁面，還有入口文件和index.php首頁訪問頁面的代碼是否一致化.接著要了解的是整個金融平臺網站的目錄，都包含哪些功能目錄，這次我們檢查到的，客戶網站有會員注冊功能，頭像上傳功能，銀行卡添加，充值，提現(xiàn)，投資記錄，意見與反饋，個人資料修改等等功能.

我們SINE安全在進行網站代碼的安全審計，采用的審計方法是敏感函數(shù)以及傳輸值的追蹤與調試的辦法去查看代碼是否含有惡意代碼以及存在的漏洞隱患，是否可導致產生網站漏洞，包括一些邏輯漏洞，垂直，平行越權漏洞的產生.

在大體的代碼審計一遍后發(fā)現(xiàn)有些PHP文件存在SQL注入漏洞，沒有開關閉合引號，導致可以前端傳入惡意的參數(shù)值，并傳入到數(shù)據(jù)庫中進行執(zhí)行，尤其新聞公告欄目里newxinxi.php?id=18,打開后是直接調用數(shù)據(jù)庫里的新聞內容，但是ID這個值沒有限制輸入中文以及特殊字符，導致直接執(zhí)行到后端的數(shù)據(jù)庫當中去了，我們SINE安全技術隨即對客戶的網站漏洞進行了修復，限制ID=的值為數(shù)字，不允許輸入中文等特殊字符.在充值，以及提現(xiàn)功能里，我們發(fā)現(xiàn)客戶的網站代碼并沒有對數(shù)字的正負號進行限制，導致可以輸入負號進行充值，以及提現(xiàn)，在實際的滲透中發(fā)現(xiàn)提現(xiàn)中輸入負數(shù)，可以導致個人賬戶里的金額增加，后臺并沒有審核提現(xiàn)的功能.而是直接執(zhí)行了提現(xiàn)功能.

網站還存在遠程執(zhí)行代碼寫入漏洞.可導致網站被上傳webshell,進而導致網站的權限以及服務器的權限被拿下，用戶數(shù)據(jù)被篡改被泄露都是可以發(fā)生的.我們來看下這個代碼，如下圖：

我們來看下這個變量值是如何寫，如何賦值的，$page, $dir = dirname(__FILE__).‘/./backup/’這個backup就是自定義的備份目錄.dirname 就是輸出的文件名，當我們用helper去定義這個類的時候，就會調用代碼里的IF語句，判斷條件是否滿足，如果滿足就可以導致遠程插入惡意代碼，或構造惡意的代碼去執(zhí)行，并輸出惡意文件到網站目錄中，像webshell都是可以的.以上是我們SINE安全在對客戶網站進行滲透服務中發(fā)現(xiàn)的一部分漏洞，以及如何做的代碼安全審計，漏洞過程的分享，,如果網站在運行中出現(xiàn)了被攻擊，數(shù)據(jù)被篡改等攻擊問題，可以找專來進行滲透服務，國內SINESAFE,綠盟，啟明星辰，都是比較不錯的，安全防患于未然，發(fā)現(xiàn)漏洞，修復漏洞，促使網站在上線之前安全防護做到極致，網站安全了，用戶才能用的安心，也希望更多的人了解滲透服務.