XSS跨站以及CSRF攻擊，在目前的滲透測(cè)試，以及網(wǎng)站漏洞檢測(cè)中 ，經(jīng)常的被爆出有高危漏洞，我們SINE安全公司在對(duì)客戶網(wǎng)站進(jìn)行滲透測(cè)試時(shí)，也常有的發(fā)現(xiàn)客戶網(wǎng)站以及APP存在以上的漏洞，其實(shí)CSRF以及XSS跨站很容易被發(fā)現(xiàn)以及利用，在收集客戶網(wǎng)站域名，以及其他信息的時(shí)候，大體的注意一些請(qǐng)求操作，前端輸入，get,post請(qǐng)求中，可否插入csrf代碼，以及XSS代碼。

很多客戶的網(wǎng)站都有做一些安全的過(guò)濾，都是做一些惡意參數(shù)的攔截，檢測(cè)的字段也都是referer檢測(cè)以及post內(nèi)容檢測(cè)，在http頭，cookies上并沒(méi)有做詳細(xì)的安全效驗(yàn)與過(guò)濾，今天主要講一講如何檢測(cè)csrf漏洞以及csrf防護(hù)辦法，防止xss csrf的攻擊。

通常我們SINE安全在滲透測(cè)試客戶網(wǎng)站是否存在csrf漏洞，首先采用點(diǎn)擊的形式去測(cè)試漏洞，在一個(gè)網(wǎng)站功能上利用點(diǎn)擊的方式繞過(guò)安全效驗(yàn)與攔截，從技術(shù)層面上來(lái)講，點(diǎn)擊的請(qǐng)求操作來(lái)自于信任的網(wǎng)站，是不會(huì)對(duì)csrf的攻擊進(jìn)行攔截的，也就會(huì)導(dǎo)致CSRF攻擊。再一個(gè)檢測(cè)漏洞的方式更改請(qǐng)求方式，比如之前網(wǎng)站使用的都是get提交方式去請(qǐng)求網(wǎng)站的后端，我們可以偽造參數(shù)，抓包修改post提交方式發(fā)送過(guò)去，就可以繞過(guò)網(wǎng)站之前的安全防護(hù)，直接執(zhí)行CSRF惡意代碼，漏洞產(chǎn)生的原因就是，網(wǎng)站開(kāi)發(fā)者只針對(duì)了GET請(qǐng)求方式進(jìn)行安全攔截，并沒(méi)有對(duì)post的方式進(jìn)行攔截，導(dǎo)致漏洞的發(fā)生。有些客戶網(wǎng)站使用了token來(lái)防止XSS跨站的攻擊，在設(shè)計(jì)token的時(shí)候沒(méi)有考慮到空值是否可以繞過(guò)的問(wèn)題，導(dǎo)致可以token為空，就可以直接將惡意代碼傳入到后端中去。還有的網(wǎng)站APP沒(méi)有token的所屬賬戶進(jìn)行效驗(yàn)，導(dǎo)致可以利用其它賬戶的token進(jìn)行CSRF代碼攻擊。

那如何防止XSS csrf攻擊？ 如何修復(fù)該網(wǎng)站漏洞

根據(jù)我們SINE安全十多年來(lái)總結(jié)下來(lái)的經(jīng)驗(yàn)，針對(duì)XSS，csrf漏洞修復(fù)方案是：對(duì)所有的GET請(qǐng)求，以及POST請(qǐng)求里，過(guò)濾非法字符的輸入。'分號(hào)過(guò)濾 --過(guò)濾 %20特殊字符過(guò)濾，單引號(hào)過(guò)濾，%百分號(hào)，<>,and過(guò)濾，tab鍵值等的的安全過(guò)濾。使用token對(duì)csrf的請(qǐng)求進(jìn)行安全效驗(yàn)與攔截，對(duì)token的控制進(jìn)行邏輯功能判斷，如果發(fā)現(xiàn)token值為空，直接返回404錯(cuò)誤，或者攔截該值為空的請(qǐng)求，還有要對(duì)token的所屬賬戶進(jìn)行效驗(yàn)，判斷該token是否為當(dāng)前賬戶的，如果不是就攔截掉該請(qǐng)求，或者返回錯(cuò)誤頁(yè)面。

使用session與token的雙層安全效驗(yàn)，如果seeion與token值不對(duì)等，與你的加密算法不一致，就將該請(qǐng)求過(guò)濾攔截掉，如果兩個(gè)的值與加密算出來(lái)的值相等，就是合法的請(qǐng)求，但是加密算法一定要隱藏掉，寫入到后端，不要被逆向破解掉。對(duì)referer字段進(jìn)行安全效驗(yàn)，檢查URL是否是白名單里的，對(duì)于referer為空直接攔截掉該請(qǐng)求，URL的白名單要含有WWW，拒絕二級(jí)域名的請(qǐng)求。以上就是關(guān)于滲透測(cè)試中發(fā)現(xiàn)的xss csrf漏洞修復(fù)方案，如果您對(duì)網(wǎng)站代碼不是太懂的話，不知道該如何修復(fù)漏洞，可以找專業(yè)的網(wǎng)站安全公司來(lái)處理解決，國(guó)內(nèi)SINESAFE，綠盟，啟明星辰，都是比較不錯(cuò)的網(wǎng)絡(luò)安全公司，針對(duì)漏洞的修復(fù)就到這里了，安全提示：網(wǎng)站，APP在上線的同時(shí)，一定要對(duì)網(wǎng)站進(jìn)行滲透測(cè)試服務(wù)，檢測(cè)網(wǎng)站存在的漏洞，以及安全隱患，防止后期網(wǎng)站運(yùn)行中出現(xiàn)一些沒(méi)有必要的損失。