type
status
date
slug
summary
tags
category
icon
password
公司的项目做了些三方检测的渗透测试,其中有些不乏各种项目经常出现的问题,特在此记录。
问题
信息遍历
描述
系统的架构设计不合理,表中的id使用的是自增型主键,导致在调用的时候,可以根据生成规则攻击从而获得大量的敏感信息,特别是用户信息或者文件下载信息
举例
比如接口为
攻击者可以猜测id为自增主键,然后把id改成2,从而获得id为2的信息
解决方案
(1)主键使用uuid作为主键(此处根据数据的保密性来进行合理的处理,使用自增主键更有利于查询的速度性,使用uuid更有利于保密性)
(2)如果使用了自增主键,在调用的web端进行加密,在server端进行解密
任意文件上传
描述
系统的文件上传接口没有做任何的格式校验,导致攻击者可以上传js、cmd、shell、py的文件,在服务器中运行脚本获取服务的账号信息等
解决方案
上传接口的时候,判断文件的后缀名格式,比如
文档类:doc,docx,xls,xlsx,ppt,pptx,pdf,txt,wps 视频类:avi,wav,mp3,wma,mpg 图片类:png,gif,jpg,jepg 压缩包:zip,rar
严禁上传的类: bmp文件:此文件可以注入很多攻击信息,漏洞极大 js文件:使用js脚本可以获取到很多数据信息
邮箱验证码等轰炸
描述
如果邮箱验证码、手机短信码没有做一段时间内有效时间验证,那么攻击者可以根据调用接口,对某用户进行无限次数据轰炸(也浪费了很多短信数据包,费钱)
解决方案
如现在很多软件的方案一样,在验证码的表中增加时间戳,进行时间判断(比如5分钟之内有效,5分钟之内不再发送验证码等)
用户名轰炸
描述
当用户登陆的时候,后台检索改用户名不存在是,如果返回“用户名不存在”,那攻击者可以暴力破解,来检验出哪些用户名是存在的
解决方案
当用户名不存在时,提示“用户名或密码错误”
错误信息返回敏感信息
描述
当后台异常处理不到位,对页面抛出了异常信息,会在信息中出现数据库等字段。且返回给用户此信息也不合理
举例
解决方案
使用切面捕获异常,统一返回固定格式信息
- 作者:Doubletree
- 链接:https://blog.doubletree.fun/article/ea02797c-668e-499a-83c9-49124d8fbaaa
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。