网站建设
当前位置:主页 > 建站资讯 > 网站建设 >
共享金融网站漏洞检测过程
发布日期:2021-04-12 阅读次数: 字体大小:

经过通用代码审核,发现某些php文件存在sql注入漏洞且没有关闭引号的开关,导致恶意参数值从前端传入并传递给数据库以执行,特别是在 新闻公告栏www.jianzhanlong.com?id = 18,打开后直接调用数据库中的新闻内容,但ID的值没有限制输入中文和特殊字符,导致直接执行到后端数据库,我们的SINE安全技术立即检测到 客户网站的漏洞。 修复,将ID =的值限制为数字,并且不允许使用特殊字符,例如输入中文。 在充值和提现功能中,我们发现客户的网站代码未限制数字的符号,这使得可以输入负号。对于充值和提现,在实际的渗透测试中发现输入负号 提款会导致个人账户金额增加。 后台没有审查提款的功能。 取而代之的是直接执行撤回功能。网站上还存在一个远程执行代码漏洞。 这可能会导致网站上载webshell,这将导致该网站和服务器的许可被删除,并且可能会发生用户数据被篡改和泄露的情况。 让我们看一下下面的代码,如下所示:

共享金融网站漏洞检测过程


让我们看一下该变量的值如何写以及如何赋值,$ page,$ dir =dirname(__ FILE __)。'/../backup/'此backup是自定义备份目录。dirname是输出文件名。 当我们使用帮助程序定义此类时,将调用代码中的IF语句以确定条件是否满足,如果满足,则可能导致远程插入恶意代码或构建恶意代码。 执行,并将恶意文件输出到网站目录,例如webshell都是可能的。 以上是我们的SINE安全正在渗透到客户网站中的测试服务中发现的某些漏洞,以及如何进行代码安全审核以及共享漏洞测试过程。 如果网站在运行过程中遭到攻击,数据被篡改等攻击问题,可以找专业的网站安全公司进行渗透测试服务,国产的SINESAFE,NSFOCUS和Venus Star都比较好,可以预防安全问题。 在它们发生之前,请先发现漏洞,修复漏洞并在网站上线之前为其提供最终的安全保护。 当网站安全时,用户可以放心使用。 我也希望更多的人能了解渗透测试服务。

标签:url地址SQL注入漏洞webshell源代码indexphp文件Backupdirnamephp首页输入中文VUE JS框架PHP功能页面