网站安全检测之逻辑漏洞检测 修复方案

网站安全是整个网站运营中最重要的一部分，网站没有了安全，那用户的隐私如何保障，在网站中进行的任何交易，支付，用户的注册信息都就没有了安全保障，因此网站安全作好了，才能更好的去运营一个网站，咱们SINE安全在对客户进行网站安所有署与检测的同时，发现网站的业务逻辑漏洞不少，尤为暴利破解漏洞。

网站安全里的用户密码暴利破解，是目前业务逻辑漏洞里出现比较多的一个网站漏洞，其实暴力破解简单来讲就是利用用户的弱口令，好比123456，111111,22222，admin等比较经常使用的密码，来进行猜想并尝试登录网站进行用户密码登录，这种攻击方式，若是网站在设计当中没有设计好的话，后期会给网站服务器后端带来很大的压力，能够给网站形成打不开，以及服务器瘫痪等影响，甚至有些暴力破解会利用工具，进行自动化的模拟攻击，线程能够开到100-1000瞬时间就能够把服务器的CPU搞爆，大大的缩短了暴力破解的时间甚至有时几分钟就能够破解用户的密码。

在咱们SINE安全对客户网站漏洞检测的同时，咱们都会去从用户的登陆，密码找回，用户注册，二级密码等等业务功能上去进行安全检测，经过咱们十多年来的安全检测经验，咱们来简单的介绍一下。

首先咱们来看下，暴力破解的模式，分身份验证码模块暴利破解，以及无任何防御，IP锁定机制，不间断撞库，验证码又分图片验证码，短信验证码，验证码的安全绕过，手机短信验证码的爆破与绕过等等几大方面。无任何防御的就是网站用户在登陆的时候并无限制用户错误登陆的次数，以及用户注册的次数，重置密码的吃书，没有用户登陆验证码，用户密码没有MD5加密，这样就是无任何的安全防御，致使攻击者能够趁虚而入，暴力破解一个网站的用户密码变的十分简单。

IP锁定机制就是一些网站会采用一些安全防御措施，当用户登陆网站的时候，登陆错误次数超过3次，或者10次，会将该用户帐号锁定并锁定该登陆帐户的IP，IP锁定后，该攻击者将没法登陆网站。

验证码破解与绕过，在整个网站安全检测当中很重要，通常验证码分为手机短信验证码，微信验证码，图片验证码，网站在设计过程当中就使用了验证码安全机制，可是仍是会绕过以及暴利破解，有些攻击软件会自动的识别验证码，目前有些验证码就会使用一些拼图，以及特殊字体，甚至有些验证码输入一次就能够屡次使用，验证码在效验的时候并无与数据库对比，致使被绕过。

关于网站出现逻辑漏洞该如何修复漏洞呢？

首先要设计好IP锁定的安全机制，当攻击者在尝试登录网站用户的时候，能够设定一分钟登录多少次，登录多了就锁定该IP，再一个帐户若是尝试一些特殊操做，好比找回密码，找回次数过多，也会封掉该IP。

验证码识别防御，增长一些语音验证码，特殊字体验证码，拼图下拉验证码，须要人手动操做的验证码，短信验证码一分钟只能获取一次验证码。验证码的生效时间安全限制，不管验证码是否正确都要一分钟后就过时，不能再用。全部的用户登陆以及注册，都要与后端服务器进行交互，包括数据库服务器。