公司首页
供应商机
关于我们
公司动态
荣誉认证
招聘中心
客户案例
产品知识
联系方式
服务方式远程
服务商承诺解决不掉全额退款
代码漏洞修复支持
漏洞测试全人工,拒绝工具扫描
服务价格请咨询技术提供报价,因为每个网站的架构规模情况都不同,所以报价也不同
网站被黑的一种形式,也就是web前端被黑了,我来说说网站页面被劫持的一个和处理方法。先我们先来看一下这个是什么样的,这里我找到了一个客户网站的案例,那么当我在通过搜索某些关键词的时候,当我点击这个链接的时候,它会给你跳到这种违规网站的页面上去,那么怎么样判断它是前端还是后端脚本进行了一个劫持呢,那么我们就把这个链接复制过来,复制好了后,我打开这个调试面板,然后在这里有一个 settings的这个一个设置按钮,把这个disable javascript这个脚本把它禁用,那么禁用之后把刚才这复制过来的这个快照链接把它复制过来,然后敲一下回车,就会发现发现它是不会跳转的,所以对于这一种请求跳转,我们把它称之为叫做前端。要是前一两年这种形式还是比较少的,但是今年发现的就越来越多,原因是什么,原因是PHP脚本里包含跳转代码的话会被杀毒软件直接查杀出来。我们SINE安全技术在对该代码进行安全检测与渗透测试的手,会先大体看下代码,熟悉整个网站的架构,数据库配置文件,以及调用到的文件,通常调用到的安全规则是如何写的,多个方面去大体的了解该代码,目前渗透测试中,发现的网站漏洞有:SQL注入漏洞,网站敏感信息泄露,初始化安装功能漏洞,直行平行越权逻辑漏洞,任意文件上传漏洞,登录绕过漏洞,短信验证码漏洞,找回密码漏洞,数据库备份webshell,XSS跨站,CSRF漏洞等待。
什么是安全应急响应,比如说我公司网站被攻击了,那我就要找个人去帮我看看漏洞在哪,我这个公司到底是哪个地方被攻击了,然后我应该怎么修复,这就叫应急响应了,应该怎么处理,从网站安全公司SINESAFE那里说起,他每年都要接几十起的攻击应急响应事件,也就是说我们的国家一些部门,他可能一年就会被攻击几十次,但是他说,他今年接到的应急响应次数是零次,也就是说我们现在的攻防对抗已经到一个阶段了,这个WAF硬件防火墙已经开始慢慢的成熟了,大家如果想再去挖这些比较简单的漏洞,或者是说比较常见的漏洞,是非常的难。
今天教大家一招,解决网站中静态文件被挂木马的问题。其实很简单,我们只要找到网页中使用的所有的这个JS脚本,然后把它替换成静态的连接地址,这样子的话别人就没有办法去修改这些脚本文件了。
DOM型XSS,是反射型XSS的另一种表现形式,是根据DOM文档对象调用JS脚本来实现攻击的,大部分的的DOM都是篡改dom属性来执行攻击命令。具体的攻击如下图:
关于网站上传漏洞的修复,建议管理员关闭掉解压功能,或者对其解压的文件进行权限判断,是管理员用户有解压功能,还是普通会员权限拥有解压文档的权限,对权限进行合理的安全分配,再一个对上传的目录进行无脚本权限设置,防止webshell木马后门的运行。如果您对网站漏洞修复不熟悉的话,建议找的网站安全公司帮您修复网站漏洞,国内也就Sinesafe和绿盟、启明星辰等安全公司比较.
青岛安全测试厂商
