問答專欄Q & A COLUMN
作為信息安全領域的從業人員很高興回答你的問題。關于Web安全如何修復我認為漏洞修復分四步發現漏洞、確定漏洞的危害、確定有那些修復方案及成本、綜合比較選擇修復方案進行修復。
在進行漏洞修復之前肯定要確定漏洞是什么?(如注入、XEE、跨站、信息泄露、反序列化等OWASP top10常見漏洞或支付、驗證碼、密碼修改等邏輯漏洞)。可以通過專業的漏洞掃描工具或者專業的安全服務團隊發現漏洞,不同類型的漏洞修復方案不同。如注入、XEE、跨站、反序列化可以通過對輸入進行控制也可以通過IPS/IDS,邏輯漏洞則要對邏輯進行重新設計。
同樣的漏洞對于不同的情況造成的危害也不一樣,例如同樣是sql注入漏洞,一些公司數據庫中存放的是極為重要的敏感數據(如身份證、手機號、賬號、密碼等),另外一些公司可能只是存放一些無關緊要的數據(如一些新聞消息),那么可以根據實際情況選擇是否修復。
確定是什么漏洞之后那么就能找到相應的修復方案,如下舉例說明幾種漏洞的修復方案:
sql注入修復方案:
1.使用正則表達式過濾傳入的參數.
2.預編譯:執行階段只是把輸入串作為數據處理,而不再對sql語句進行解析,準備,因此也就避免了sql注入問題.
3.權限控制:在創建一個SQL數據庫的用戶帳戶時,要遵循最低權限法則。
4.IDS/IPS:從網絡層來進行過濾請求,來緩解風險呢
支付邏輯漏洞修復方案:
多重校驗如下圖:
確定自己Web中漏洞有幾種修復方案,每種修復方案的成本及影響。
根據修復漏洞所需要的成本,不修復漏洞帶來的損失、對公司的業務影響、對公司的聲譽影響(如果修復成本100萬,損失10萬完全沒有必要修復),選擇相應的修復方案或者緩解措施。如重要信息未加密漏洞,如果立即修復對業務影響比較大(如代碼需要更改加入加密算法、數據庫結構要重新設計、可能第三方對接業務代碼也需要更改),可以使用HTTPS協議及其他緩解措施來增加攻擊的難度,后續慢慢更改 。總之要根據自身的實際情況進行調整。
評論0
加載中...
web安全漏洞有很多種,不知你指的是哪一種?
常見的web安全漏洞有:
1、跨站腳本攻擊(XSS)
修復方式:cookie值設置HttpOnly,輸入檢查和輸出檢查特殊字符。
2、跨站點請求偽造(CSRF)
修復方式:請求時附帶驗證信息,如驗證碼或token。
3、點擊劫持
修復方式:HTTP 響應頭X-FRAME-OPTIONS。
4、SQL注入
修復方式:將數據與代碼分離,在"拼湊"發生的地方安全檢查。
5、DDOS攻擊
修復方式:限制請求頻率、User-Agent、驗證碼。
評論0
加載中...
你先得掃描你的網站有什么漏洞,找到漏洞才能修補!
mutillidae工具是一個免費,開源的Web應用程序,提供專門被允許的安全測試和入侵的Web應用程序。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.開發的一款自由和開放源碼的Web應用程序。其中包含了豐富的滲透測試項目,如SQL注入、跨站腳本、clickjacking、本地文件包含、遠程代碼執行等.
評論0
加載中...
評論0
加載中...
怎么做好網站漏洞安全測試呢?一方面可以邊開發邊進行網站漏洞測試,另一方面可以通過專業的第三方機構進行軟件滲透測試,比如卓碼軟件測評,對網站進行漏洞檢測。
來源:https://www.zmtests.com/skillarticle/20200706192933
評論0
加載中...
0
回答0
回答0
回答2
回答0
回答0
回答0
回答0
回答0
回答0
回答
