渗透测试服务 针对CSRF漏洞检测与代码防御办法



       XSS跨站以及CSRF攻击,在目前的渗透测试,以及网站漏洞检测中 ,经常的被爆出有高危漏

洞,我们SINE安全公司在对客户网站进行渗透测试时,也常有的发现客户
网站以及APP存在以上

的漏洞,其实CSRF以及XSS跨站很容易被发现以及利用,在收
集客户网站域名,以及其他信息的

时候,大体的注意一些请求操作,前端输入,
get,post请求中,可否插入csrf代码,以及XSS代码。

 
 
 
很多客户的网站都有做一些安全的过滤,都是做一些恶意参数的拦截,检测的字段也都是referer

检测以及post内容检测,在http头,cookies上并没有做详细的安全
效验与过滤,今天主要讲一讲

如何检测csrf漏洞以及csrf防护办法,防止xss csrf
的攻击。
 

 
通常我们SINE安全在渗透测试客户网站是否存在csrf漏洞,首先采用点击的形式去测试漏洞,在一

个网站功能上利用点击的方式绕过安全效验与拦截,从技术层面上
来讲,点击的请求操作来自于信

任的网站,是不会对csrf的攻击进行拦截的,也就
会导致CSRF攻击。再一个检测漏洞的方式更改请

求方式,比如之前网站使用的都是
get提交方式去请求网站的后端,我们可以伪造参数,抓包修改

post提交方式发送
过去,就可以绕过网站之前的安全防护,直接执行CSRF恶意代码,漏洞产生的

原因
就是,网站开发者只针对了GET请求方式进行安全拦截,并没有对post的方式进行拦截,导致

漏洞的发生。有些客户网站使用了token来防止XSS跨站的攻击,在设计
token的时候没有考虑到空

值是否可以绕过的问题,导致可以token为空,就可以直
接将恶意代码传入到后端中去。还有的网

站APP没有对token的所属账户进行效验,
导致可以利用其它账户的token进行CSRF代码攻击。
 
 
那如何防止XSS csrf攻击? 如何修复该网站漏洞
 
根据我们SINE安全十多年来总结下来的经验,针对XSS,csrf漏洞修复方案是:对所有的GET请

求,以及POST请求里,过滤非法字符的输入。'分号过滤 --过滤 %20
特殊字符过滤,单引号过

滤,%百分号,<>,and过滤,tab键值等的的安全过滤。
使用token对csrf的请求进行安全效验与

拦截,对token的控制进行逻辑功能判断,
如果发现token值为空,直接返回404错误,或者拦截

该值为空的请求,还有要对
token的所属账户进行效验,判断该token是否为当前账户的,如果不

是就拦截掉该
请求,或者返回错误页面。
 
 
使用session与token的双层安全效验,如果seeion与token值不对等,与你的加密算法不一致,就

将该请求过滤拦截掉,如果两个的值与加密算出来的值相等,就是
合法的请求,但是加密算法一

定要隐藏掉,写入到后端,不要被逆向破解掉。
对referer字段进行安全效验,检查URL是否是白

名单里的,对于referer为空直接
拦截掉该请求,URL的白名单要含有WWW,拒绝二级域名的请

求。以上就是关于渗透
测试中发现的xss csrf漏洞修复方案,如果您对网站代码不是太懂的话,不

知道该
如何修复漏洞,可以找专业的网站安全公司来处理解决,国内SINESAFE,绿盟,启明星

辰,都是比较不错的网络安全公司,针对漏洞的修复就到这里了,安全提示:
网站,APP在上线

的同时,一定要对网站进行渗透测试服务,检测网站存在的漏洞
,以及安全隐患,防止后期网站

运行中出现一些没有必要的损失。
 
分享: