API代码审计 青岛四海通达电子科技有限公司

网站漏洞扫描服务通过漏洞扫描器对制定的远程或者本地网站系统进行安全脆弱性检测，提供的漏洞扫描报告，报告中针对检测中发现的安全风险漏洞提供具体的发现地址、漏洞详情以及的修复建议。
针对于PHP代码的开发的网站，近在给客户做网站安全检测的同时，大大小小的都会存在网站的后台管理页面被绕过并直接登录后台的漏洞，而且每个网站的后台被绕过的方式都不一样，根据SINE安全渗透测试多年来经验，来总结一下网站后台绕过的一些详情，以及该如何去防范后台被绕过，做好网站的署。后台验证码缺乏安全验证
比如在axublog程序中，网站后台存在一个验证管理员登录的一个函数chkadcookie()。但是在网站后台的ad中并没有chkadcookie()此验证函数，因而就造成了普通访问条用户可以越权访问。这种漏洞的原理也比较简单，一般情况下是经验不足的开发者漏掉了验证函数。Sine安全公司是一家专注于：服务器安全、网站安全、网站安全检测、网站漏洞修复，渗透测试，安全服
务于一体的网络安全服务提供商。后台验证代码没有做到的安全验证axublog后台验证函数绕过后台登录的验证方式在axublog中的后台验证函数是chkadcookie()，代码如下图所示：通过对网站代码的详细安全检测，发现了问题中只有date我们是无法知道，而UA和REMOTE_ADDR都是客户端可控的验证逻辑是如果在COOKIE中出现了在txtchkad.txt中的值，
那么就认为是登录的。这样的验证逻辑明显存在很大的漏洞问题。如何绕过后台验证？只需要将COOKIE中的chkad设置为_就可以绕过后台的登录了。网站安全之变量覆盖漏洞详情：beescms的后台验证函数绕过后台验证方式检查登录的函数is_login()的代码为如下图所示：上述的代码中并没有对使用fl_value()函数进行过滤，但又使用了extract()这样的函数，
所以就可以通过发送参数覆盖掉SEESION中的值，从而绕过验证了。如何绕过后台验证？Sine安全公司是一家专注于：服务器安全、网站安全、网站安全检测、网站漏洞修复，渗透测试，安全服务于一体的网络安全服务提供商。绕过方式很简单，访问随便一个页面，发送请求包如下：index：_SESSION[login_in]=1&_SESSION[admin]=1&_SESSION[login_time]=99999999999此时就成功地创建了SESION变量，包括SESSION[loginin]=1、_SESSION[admin]=1、SESSION[logintime]=99999999999。之后访问管理员页面，就可以成功地登录后台了。针对于以上两个绕过网站后台的漏洞，可以看出一个是验证码，一个是变量覆盖漏洞

网站安全是整个网站运营中重要的一部分，网站没有了安全，那用户的隐私如何**，在网站中进行的任何交易，支付，用户的注册信息都就没有了安全**，所以网站安全做好了，才能较好的去运营一个网站，我们SINE安全在对客户进行网站署与检测的同时，发现网站的业务逻辑漏洞很多，尤其**解析漏洞。网站安全里的用户密码**解析，是目前业务逻辑漏洞里出现比较多的一个网站漏洞，其实强制解析简单来说就是利用用户的弱口令，比如123456，111111，22222，admin等比较常用的密码，来进行猜测并尝试登陆网站进行用户密码登陆，这种攻击方式
如果网站在设计当中没有设计好的话，后期会给网站服务器后端带来很大的压力，可以给网站造成打不开，以及服务器瘫痪等影响，甚至有些强制解析会利用工具，进行自动化的模拟攻击，线程可以开到100-1000瞬时间就可以把服务器的CPU搞爆，大大的缩短了强制解析的时间甚至有时几分钟就可以解析用户的密码。在我们SINE安全对客户网站漏洞检测的同时，我们都会去从用户的登录，密码找回，用户注册，二级密码等等业务功能上去进行安全检测，通过我们十多年来的安全检测经验，我们来简单的介绍一下。
首先我们来看下，强制解析的模式，分身份验证码模块**解析，以及无任何防护，IP锁定机制，不间断撞库，验证码又分图片验证码，短信验证码，验证码的安全绕过，手机短信验证码的爆密与绕过等等几大方面。无任何防护的就是网站用户在登录的时候并没有限制用户错误登录的次数，以及用户注册的次数，重置密码的吃书，没有用户登录验证码，用户密码没有MD5加密，这样就是无任何的安全防护，导致攻击者可以趁虚而入，强制解析一个网站的用户密码变的十分简单。
IP锁定机制就是一些网站会采用一些安全防护措施，当用户登录网站的时候，登录错误次数**过3次，或者10次，会将该用户账号锁定并锁定该登录账户的IP，IP锁定后，该攻击者将无法登录网站。验证码解析与绕过，在整个网站安全检测当中很重要，一般验证码分为手机短信验证码，微信验证码，图片验证码，网站在设计过程中就使用了验证码安全机制，但是还是会绕过以及**解析，有些攻击软件会自动的识别验证码，目前有些验证码就会使用一些拼图，以及字体，甚至有些验证码输入一次就可以多次使用，验证码在效验的时候并没有与数据库对比，导致被绕过。
关于网站出现逻辑漏洞该如何修复漏洞呢？首先要设计好IP锁定的安全机制，当攻击者在尝试登陆网站用户的时候，可以设定一分钟登陆多少次，登陆多了就锁定该IP，再一个账户如果尝试一些操作，比如找回密码，找回次数过多，也会封掉该IP。验证码识别防护，增加一些语音验证码，字体验证码，拼图下拉验证码，需要人手动操作的验证码，短信验证码一分钟只能获取一次验证码。验证码的生效时间安全限制，无论验证码是否正确都要一分钟后就过期，不能再用。所有的用户登录以及注册，都要与后端服务器进行交互，包括数据库服务器。

序列化就是将类对象转化为字符串或字节流，还可以转化为xml、json，其实都一样，都是为了方便传输和储存，反序列化就是其逆过程。利用方式：前台构造序列化数据，传输到后台，经过一系列复杂的调用，终触发命令执行。这种漏洞要利用，必须对后端代码有很好的了解，所以反序列化漏洞目前都是针对组件的，有现成的利用工具。但漏洞大多被补了，运气好的话就试试吧。

从大学毕业的时候开始简单入门，写写网站程序代码，搞搞sql注入以及安全测试，到现在Sinesafe当安全，差不多在安全行业成长了11年，发现不懂得问题随着实战渗透测试中非常多，还是学到老干到老才是成功之道。当今时代的安全发展很多都是依靠大数据去确保，而人工手动网站安全测试却被忽略了，只有当客户出了安全漏洞问题，才想起找人工进行全面的漏洞测试。
如何入门安全渗透测试，本质上是如何入门一个新的领域。个人的见解是你可以从三个步骤来递进学习。1.明确目标，学以致用你首先要明确学习安全渗透测试的目标，你是想打CTF比赛，还是当个白帽挖CVE洞，还是想写个安全的代码，或是开源个安全软件等，目标不同，你的学习路径也是不同的。不建议立即从基础学起，肯定有人给你说学c，学数据结构，学算法，学汇编等等，其实这是不聪明的，目标导向：之前说的每一门都是个大学科，其实用到安全上的并不多，如果你在暂时用的不多的内容上花费了很多时间，那么你什么时候才能实现自己的目标呀，人的精力是有限的。
2.细化你的目标，制定具体的学习内容例如咱们定个目标，写一个PE的保护壳，那你首先要做的是什么呢？先去google搜索PE的保护壳有哪些种？比如压缩壳，加密壳，虚拟机等等，难度高低怎么样？对于入门者来说，压缩壳相对简单，那就从这个开始学。接着去github或者google搜索开源的PE压缩壳和相应的教程。发现PE压缩壳有用汇编写的，有用C，C++写的，这个时候咱们可以先选择汇编来写。
然后就查询一下压缩壳原理的教程和书籍，比如书籍推荐《加密与解析》，对比着开源壳的代码去理解，如果汇编不懂，找到一本汇编书，比如王爽的汇编入门书籍，不要全看完，对比着壳代码看到哪去学哪。整体的学习过程变成了：PE保护壳-》压缩壳-》汇编压缩壳-》搜索开源代码和原理教程-》对比着壳代码，看汇编书籍理解将目标越来越细化，你就越清楚自己做什么。
3.反馈学习是一个不断反馈的过程，你在第2步的学习过程中，作为初学者肯定不会这么顺利，看看开源代码也会遇到不懂得地方，自己写的代码的时候肯定也会调试不通，这时候就接着去找资料，看书，调试，搞懂。正常的学习过程一般是：学习-》应用-》反馈-》接着学习4.推荐CTFCTF比赛还是非常推荐的，为啥这么说呢？有两点吧。
接近实战的机会。现在网络安全法很严格，不像之前大家能瞎搞题目紧跟技术*，而书籍很多落后了。如果你想打CTF比赛，直接去看赛题，赛题看不懂，根据不懂的地方接着去看资料。如果大家想要对自己的网站或平台以及APP进行全面的渗透测试服务的话可以去网站安全公司看看，国内推荐SINESAFE，启**辰，绿盟等等这些安全公司。
公司扫描的漏洞较齐全从这个安全隐患上就可以看出，公司之所以在市场中存在，就是可以为很多企业提供云漏扫的解决方案，不仅可以及时发现问题所在，而在扫描过程中也可以通过高科技的方式进行扫描，对于企业来说不会存在任何的危害，所以企业也都可以放心的进行选择。

青岛四海通达电子科技有限公司坐落于美丽的海滨城市--青岛，是致力于网站安全和服务器安全的和*。安全服务于互联网金融、游戏平台、移动APP软件、O2O&电商、支付平台、外贸等行业，已精诚服务于上千家网站。公司的创立者为国内早从事互联网安全技术研究和服务器安全方面的，在安全渗透、身份认证安全、网站安全、服务器安全维护、应用攻防等技术方面有深厚的积累和*到的创新。

 

    SINE安全公司专注于安全领域十年，拥有的安全团队，拥有自己的内部信息漏洞平台，时刻洞察整个互联网的安全态势、漏洞信息、以及的攻击方法。正因为如此，我们具备攻击者视角以及防御者视角的多维度防御方法，所谓未知攻，焉知防，知己知彼，百战不殆！

 

    公司的安全服务项目包含服务器安全服务、网站安全服务、服务器代维服务、安全渗透测试服务。内容涉及服务器安全设置，底层系统的安全加固，深度攻击防御，服务器安全日志审查，网站漏洞测试，网站防劫持跳转，SQL防注入攻击，网站木马清理、网站程序代码安全审计，Windows 、Linux、服务器维护，服务器环境配置，LAMP环境配置，IIS、Nginx、Apache、JSP+Tomcat数据库集群、网站防攻击防篡改方案，网站漏洞检测，模拟入侵攻击，APP软件安全渗透(Android、IOS)，服务器漏洞测试等等。

 

    SINE安全公司研发的服务器安全防御系统，具有服务器攻击自动防御，网站攻击安全分析，攻击行为自动，调用底层IIS*墙，Linux内核级*墙，远程桌面军规认证，端口安全过滤，多年来研发的内部漏洞信息安全系统（包含各种开源程序的漏洞，DEDECMS、DISCUZ、ECSHOP、Wordpress、Magento、PHPCMS、Thinkphp、马克斯MAXCMS、等网站程序、以及MYSQL、Apache Serv-u、Tomcat等常用服务器软件的漏洞信息），以及社工库系统，源代码安全审计系统（程序代码的安全审查，能发现SQL注入，代码执行，命令执行，文件包含，绕过转义防护，拒绝服务，XSS跨站，信息泄露，任意URL跳转等漏洞）。 多个安全系统为客户提供了全面的、的、化的安全维护方案，进行技术支持与服务，有效的解决了入侵攻击，漏洞带来的安全威胁。 特别是我们在国内率先开展网站安全服务业务，建立了完善的安全服务体系(SafeServer)，具备国内网站安全服务资质，目前已成功为多家企事业单位和个人用户进行了网站及服务器安全维护服务，受到所有用户的一致**和认可，被青岛本地企业评为“值得信赖的网络安全公司”，经过数十年的发展，sine安全已成长为面向**市场的网站服务器安全解决方案提供商。