谈谈网站登录在渗透测试中应当如何查找漏洞

我从事渗透测试服务十几年了，再对客户网站进行漏洞检测，安全渗透时，尤其网站用户登录功能上发现的漏洞很多，想总结一下在渗透测试过程中，网站登录功能上都存在哪些网站安全隐患，下面就有请我们SINE安全的工程师老陈来给大家总结一下，让大家都有更好的了解网站，在对自己的网站进行开发的过程中，尤其用户登录功能上做好网站安全防护，防止网站被攻击。

用户ID与密码被暴力破解，很多客户网站并没有对网站的登录进行安全判断，导致攻击者可以随意的对其进行任意的账号密码尝试登录，有些甚至有密码字典，可以不断去拆解用户的ID与密码，导致网站用户被恶意登录，所以资料出现恶意篡改等情况一般不会发生。

XSS跨站攻击漏洞也会在用户登录框中发生，比较常见的就是用户名的参数值中，有些客户网站没有对XSS恶意代码进行安全效验，导致可以输入错误的账号进行登录，当错误登录的时候，后台有可能会有错误的用户登录记录，包括post数据包里网站来源都会插入XSS攻击代码，导致管理员在查看用户登录错误日志的时候触发XSS漏洞。XSS跨站漏洞可以获取用户的cookies值，以及网站后台的地址，并可以将浏览器打开后台进行截图等功能，如何修复XSS跨站漏洞？对get,post,cookies的提交方式进行安全过滤，拦截掉<,>，,img,"",等字符。

还有很多网站功能在渗透测试过程中出现的漏洞，这里总结的是上部分，下一部分我们将会在下一篇文章中跟大家揭晓，也希望这些的渗透测试分享能让大家对网站的安全有所了解，只有真正的了解了自己的网站，才能把安全做好，知彼知己百战不殆。在网站上线以及发生安全问题后，一定要做渗透测试服务，提前检测网站存在的漏洞，以及模拟攻击者的手法去查找漏洞根源，防患于未然,国内做的比较专业网站渗透测试公司推荐Sinesafe,绿盟,启明星辰等等专业的安全公司都是比较不错的。在进行网站漏洞检测时，首先要确定自己的网站是否存在安全隐患，然后再进行漏洞检测工作。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!