SINE安全對(duì)網(wǎng)站漏洞檢測(cè)具有的安全技術(shù)人員，而且完全不依靠軟件去掃描，所有漏洞檢測(cè)服務(wù)都是由我們?nèi)斯とz測(cè)，比如對(duì)代碼進(jìn)行審計(jì)，以及都每個(gè)網(wǎng)站或APP的功能進(jìn)行單的詳細(xì)測(cè)試，如跨權(quán)限漏洞，支付漏洞繞過，訂單價(jià)格被篡改，或訂單支付狀態(tài)之類的，或會(huì)員找回密碼這里被強(qiáng)制找回等，還有一些邏輯漏洞，上傳漏洞，垂直權(quán)限漏洞等等。
其實(shí)從開發(fā)的角度，如果要保證代碼至少在邏輯方面沒有明顯的漏洞，還是有些繁瑣的。舉個(gè)簡(jiǎn)單的例子，如網(wǎng)站的數(shù)據(jù)檢驗(yàn)功能，不允許前端提交不符合當(dāng)前要求規(guī)范的數(shù)據(jù)（比如年齡文本框部分不能提交字母）。那么為了實(shí)現(xiàn)這個(gè)功能，首先開發(fā)者肯定要在前端實(shí)現(xiàn)該功能，直接在前端阻止用戶提交不符規(guī)范的數(shù)據(jù)，否則用戶體驗(yàn)會(huì)很差，且占用服務(wù)器端的資源。
但是沒有安全意識(shí)或覺得麻煩的開發(fā)者就會(huì)僅僅在前端用Js進(jìn)行校驗(yàn)，后端沒有重復(fù)進(jìn)行校驗(yàn)。這樣就很容易給惡意用戶機(jī)會(huì)：比如不通過前端頁面，直接向后端接口發(fā)送數(shù)據(jù)：或者，前端代碼編寫不規(guī)范，用戶可以直接在瀏覽器控制臺(tái)中用自己寫的Js代碼覆蓋原有的Js代碼；或者，用戶還可以直接在瀏覽器中禁用Js；等等?？傊?，前端的傳過來的數(shù)據(jù)可信度基本上可以認(rèn)為比較低，太容易被利用了。
而我的思路都是很簡(jiǎn)單的，就是關(guān)注比較重要的幾個(gè)節(jié)點(diǎn)，看看有沒有可乘之機(jī)。如登錄、權(quán)限判定、數(shù)據(jù)加載等前后，對(duì)方是怎么做的，用了什么樣的技術(shù)，有沒有留下很明顯的漏洞可以讓我利用。像這兩個(gè)網(wǎng)站，加載的Js文檔都沒有進(jìn)行混淆，注釋也都留著，還寫得很詳細(xì)。比較湊巧的是，這兩個(gè)網(wǎng)站都用到了比較多的前端的技術(shù)，也都用到了sessionStorage。

討論回顧完上次整改的問題之后，理清了思路。然后我登錄了網(wǎng)站查看一下原因，因?yàn)榫W(wǎng)站只有一個(gè)上傳圖片的地方，我進(jìn)行抓包嘗試，使用了repeater重放包之后，發(fā)現(xiàn)返回包確實(shí)沒有返回文檔上傳路徑，然后我又嘗試了各種繞過，結(jié)果都不行。后苦思冥想得不到結(jié)果，然后去問一下這個(gè)云平臺(tái)給他們提供的這個(gè)告警是什么原因?？戳嗽破脚_(tái)反饋的結(jié)果里面查殺到有圖片碼，這個(gè)問題不大，上傳文檔沒有執(zhí)行權(quán)限，而且沒有返回文檔路徑，還對(duì)文檔名做了隨機(jī)更改，但是為啥會(huì)有這個(gè)jsp上傳成功了，這讓我百思不得其解。
當(dāng)我仔細(xì)云平臺(tái)提供的發(fā)現(xiàn)webshel數(shù)據(jù)的時(shí)候，我細(xì)心的觀察到了文檔名使用了base編碼，這個(gè)我很疑惑，都做了隨機(jī)函數(shù)了還做編碼干嘛，上次測(cè)試的時(shí)候是沒有做編碼的。我突然想到了問題關(guān)鍵，然后使用burpsuite的decoder模塊，將文檔名“1jsp”做了base編碼成“MS5Kc1A=”，然后發(fā)送成功反饋狀態(tài)碼200，再不是這個(gè)上傳失敗反饋500狀態(tài)碼報(bào)錯(cuò)了。
所以，這個(gè)問題所在是，在整改過程中研發(fā)人員對(duì)這個(gè)文檔名使用了base編碼，導(dǎo)致文檔名在存儲(chǔ)過程中會(huì)使用base解析，而我上傳文檔的時(shí)候?qū)⑦@個(gè)后綴名.jsp也做了這個(gè)base編碼，在存儲(chǔ)過程中.jsp也被成功解析，研發(fā)沒有對(duì)解析之后進(jìn)行白名單限制。其實(shí)這種編碼的更改是不必要的，畢竟原來已經(jīng)做了隨機(jī)數(shù)更改了文檔名了，再做編碼有點(diǎn)畫蛇添足了，這就是為啥程序bug改一個(gè)引發(fā)更多的bug原因。

結(jié)合挖掘出敏感信息和加密算法，通常通過APP客戶端和服務(wù)器通信進(jìn)行滲透攻擊，常見的通信方式有HTTP、Socket、WebSocket等，有這些重要信息后，客戶端指紋由于開發(fā)商缺乏安全意識(shí)，服務(wù)器和數(shù)據(jù)庫陷落，給客戶帶來了不可估量的損失。解決方案:做好服務(wù)器安全信任認(rèn)證，提高開發(fā)人員的安全意識(shí)，讓我們的創(chuàng)造性安全進(jìn)行安全評(píng)價(jià)和長(zhǎng)期安全運(yùn)輸，防止未來是的保護(hù)，如果想要對(duì)公司或自己的安卓APP或IOS-APP進(jìn)行全面的安全滲透測(cè)試，檢測(cè)APP的安全性的話可以向SINESAFE,鷹盾安全，綠盟，大樹安全等等尋求這方面的服務(wù)，畢竟術(shù)業(yè)有專攻

多年以來，應(yīng)用程序設(shè)計(jì)總是優(yōu)先考慮功能性和可用性，很少考慮安全性。很多CISO表示，API安全性尤其不被重視，甚至完全被排除在安全設(shè)計(jì)流程之外。通常都是開發(fā)人員開發(fā)和部署完成后，在API投入生產(chǎn)且頻繁遭受攻擊后才亡羊補(bǔ)牢查找問題。安全性（包括API安全性）需要成為產(chǎn)品設(shè)計(jì)的一部分，并且應(yīng)作為首要考慮因素加以實(shí)現(xiàn)，而不是事后填坑。
解決方法：審查應(yīng)用程序的安全體系結(jié)構(gòu)是邁向安全系統(tǒng)的重要步。請(qǐng)記住，API使攻擊者能更地攻擊或利用您的系統(tǒng)。設(shè)計(jì)安全性的目標(biāo)是讓API成為用戶而非攻擊者的工具。以上只列舉了一些常見的API漏洞，總之，重要的是在軟件開發(fā)生命周期的早期階段就討論安全問題。微小的改進(jìn)就可以帶來巨大的好處，避免API遭攻擊造成的巨大和損失。
SINE安全網(wǎng)站漏洞檢測(cè)時(shí)必須要人工去審計(jì)漏洞和查找漏洞找出問題所在并修復(fù)漏洞，對(duì)各項(xiàng)功能都進(jìn)行了全面的安全檢測(cè)。
http://www.xh798.com