回覆列表
-
1 # 用心服務每位客戶
-
2 # 大江說事
首先,在我們接觸中,最直接的可能就是通過URL 跳轉漏洞。大家都知道URL 跳轉是正常的業務功能,而且大多數網站都是需要進行 URL 跳轉。但需要跳轉的 URL有著可控性,因此中間可能會出現URL 跳轉漏洞。而攻擊者就是利用了其中這一漏洞,將一些程式跳轉到釣魚,涉黃,涉賭等網站。以來獲取使用者的賬戶資訊,敏感資料等操作。而且URL跳轉漏洞的測試難度小,由此可以導致實質性的大量危害。其次那些細節可能會存在漏洞呢?墨者安全認為其一:最開始的使用者登入,認證的正常頁面可能存在URL跳轉漏洞;其二:可能存在URL跳轉漏洞的是站內的一些其他外部連結,當你點選跳轉時就會指向那些不合規的網址;其三:可能存在URL跳轉漏洞的是巢狀式的跨網站認證和授權等。以上的情況都有可能是跳轉到網路犯罪分子控制的網站中。最後如何快速解決網站中存在的Web漏洞?1.定時排查式:主要是定期定時每天對需要跳轉的程式引數進行判斷,然後根據引數確定是否有特殊的字元開頭或結尾判斷 URL的合法性。2.防護式:因為各個不同的網站都是由不同的程式碼結構和程式語言開發出來的,因此對它們的防護方式也不同,比如說利用不同的特殊符號@、///等加在域名前或者當做字尾來進行防護。(需要的是有些特殊符合不能新增成功的,比如雙引號,封號等)在大資料快速發展的今天,隨著國家對網路安全問題的重視以及推行,從而也影響了大多數的企業著重注視這個問題,同時對加強網路安全建設開始大量的投入佈局。以此來避免更大的損失以及潛在的網路安全威脅。
在大資料快速發展的現今階段,不管多大多小的企業都會存在網路安全問題。有些人就很疑惑,哪裡會存在問題呢?事實是隻要你的業務是線上的,您有網站就會出現安全問題。其中包括使用者隱私資訊被不法分子盜取,企業敏感資料被竊取販賣或者重要資料被刪除等,都是會給企業造成致命性的打擊。那麼今天主要分享下網站被攻擊者盯上,我們該如何快速解決網站中存在的Web漏洞?
首先,在我們接觸中,最直接的可能就是通過URL 跳轉漏洞。大家都知道URL 跳轉是正常的業務功能,而且大多數網站都是需要進行 URL 跳轉。但需要跳轉的 URL有著可控性,因此中間可能會出現URL 跳轉漏洞。而攻擊者就是利用了其中這一漏洞,將一些程式跳轉到釣魚,涉黃,涉賭等網站。以來獲取使用者的賬戶資訊,敏感資料等操作。而且URL跳轉漏洞的測試難度小,由此可以導致實質性的大量危害。
其次那些細節可能會存在漏洞呢?墨者安全認為其一:最開始的使用者登入,認證的正常頁面可能存在URL跳轉漏洞;其二:可能存在URL跳轉漏洞的是站內的一些其他外部連結,當你點選跳轉時就會指向那些不合規的網址;其三:可能存在URL跳轉漏洞的是巢狀式的跨網站認證和授權等。以上的情況都有可能是跳轉到網路犯罪分子控制的網站中。
最後如何快速解決網站中存在的Web漏洞?1.定時排查式:主要是定期定時每天對需要跳轉的程式引數進行判斷,然後根據引數確定是否有特殊的字元開頭或結尾判斷 URL的合法性。2.防護式:因為各個不同的網站都是由不同的程式碼結構和程式語言開發出來的,因此對它們的防護方式也不同,比如說利用不同的特殊符號@、///等加在域名前或者當做字尾來進行防護。(需要的是有些特殊符合不能新增成功的,比如雙引號,封號等)
在大資料快速發展的今天,隨著國家對網路安全問題的重視以及推行,從而也影響了大多數的企業著重注視這個問題,同時對加強網路安全建設開始大量的投入佈局。以此來避免更大的損失以及潛在的網路安全威脅。