气候越来越凉快,在对客户网站代码进行浸透测验,缝隙测验的一起咱们SINE安全浸透技能要对客户的网站源代码进行全方位的安全检测与审计,只要真实的了解网站,才干更好的去浸透测验,发现网站存在的缝隙,尽可能的让客户的网站在上线之前,安全防护做到最极致.在后期的网站,渠道快速开展进程中,防止严重的缝隙导致的经济损失。

首要共享一下咱们SINE安全前段时间对客户的金融渠道的浸透测验进程,在审计代码的时分发现了问题,首要看到的是客户网站选用的php言语 mysql数据库,前端还使用了VUE JS结构,在进行浸透测验前,咱们要检查客户网站的源代码是否加密以及混杂,再一个检查php文件是否对应的URL地址,是调用的,仍是独自的PHP功用页面,还有进口文件和index.php主页拜访页面的代码是否共同化.接着要了解的是整个金融渠道网站的目录,都包含哪些功用目录,这次咱们检查到的,客户网站有会员注册功用,头像上传功用,银行卡添加,充值,提现,出资记载,定见与反应,个人资料修正等等功用。

咱们SINE安全在进行网站代码的安全审计,选用的审计方法是灵敏函数以及传输值的追寻与调试的方法去检查代码是否含有歹意代码以及存在的缝隙危险,是否可导致发作网站缝隙,包含一些逻辑缝隙,笔直,平行越权缝隙的发作.

在大体的代码审计一遍后发现有些PHP文件存在SQL注入缝隙,没有开关闭合引号,导致能够前端传入歹意的参数值,并传入到数据库中进行履行,特别新闻布告栏目里newxinxi.php?id=18,翻开后是直接调用数据库里的新闻内容,可是ID这个值没有约束输入中文以及特别字符,导致直接履行到后端的数据库傍边去了,咱们SINE安全技能随即对客户的网站缝隙进行了修正,约束ID=的值为数字,不允许输入中文等特别字符.在充值,以及提现功用里,咱们发现客户的网站代码并没有对数字的正负号进行约束,导致能够输入负号进行充值,以及提现,在实践的浸透测验中发现提现中输入负数,能够导致个人账户里的金额添加,后台并没有审阅提现的功用.而是直接履行了提现功用。

网站还存在长途履行代码写入缝隙.可导致网站被上传webshell,从而导致网站的权限以及服务器的权限被拿下,用户数据被篡改被走漏都是能够发作的.咱们来看下这个代码,如下图:

咱们来看下这个变量值是怎么写,怎么赋值的,$page, $dir = dirname. /../backup/ 这个backup便是自界说的备份目录.dirname 便是输出的文件名,当咱们用helper去界说这个类的时分,就会调用代码里的IF句子,判别条件是否满意,假如满意就能够导致长途刺进歹意代码,或结构歹意的代码去履行,并输出歹意文件到网站目录中,像webshell都是能够的.以上是咱们SINE安全在对客户网站进行浸透测验服务中发现的一部分缝隙,以及怎么做的代码安全审计,缝隙测验进程的共享,,假如网站在运转中呈现了被进犯,数据被篡改等进犯问题,能够找专业的网站安全公司来进行浸透测验服务,国内SINESAFE,绿盟,启明星斗,都是比较不错的,安全防患于未然,发现缝隙,修正缝隙,促进网站在上线之前安全防护做到极致,网站安全了,用户才干用的安心,也期望更多的人了解浸透测验服务。