XSS跨站以及CSRF攻擊，在目前的滲透測試，以及網(wǎng)站漏洞檢測中 ，經(jīng)常的被爆出有高危漏洞，我們SINE安全公司在對客戶(hù)網(wǎng)站進(jìn)行滲透測試時(shí)，也常有的發(fā)現客戶(hù)網(wǎng)站以及APP存在以上的漏洞，其實(shí)CSRF以及XSS跨站很容易被發(fā)現以及利用，在收集客戶(hù)網(wǎng)站域名，以及其他信息的時(shí)候，大體的注意一些請求操作，前端輸入，get,post請求中，可否插入csrf代碼，以及XSS代碼。

很多客戶(hù)的網(wǎng)站都有做一些安全的過(guò)濾，都是做一些惡意參數的攔截，檢測的字段也都是referer檢測以及post內容檢測，在http頭，cookies上并沒(méi)有做詳細的安全效驗與過(guò)濾，今天主要講一講如何檢測csrf漏洞以及csrf防護辦法，防止xss csrf的攻擊。

通常我們SINE安全在滲透測試客戶(hù)網(wǎng)站是否存在csrf漏洞，首先采用點(diǎn)擊的形式去測試漏洞，在一個(gè)網(wǎng)站功能上利用點(diǎn)擊的方式繞過(guò)安全效驗與攔截，從技術(shù)層面上來(lái)講，點(diǎn)擊的請求操作來(lái)自于信任的網(wǎng)站，是不會(huì )對csrf的攻擊進(jìn)行攔截的，也就會(huì )導致CSRF攻擊。再一個(gè)檢測漏洞的方式更改請求方式，比如之前網(wǎng)站使用的都是get提交方式去請求網(wǎng)站的后端，我們可以偽造參數，抓包修改post提交方式發(fā)送過(guò)去，就可以繞過(guò)網(wǎng)站之前的安全防護，直接執行CSRF惡意代碼，漏洞產(chǎn)生的原因就是，網(wǎng)站開(kāi)發(fā)者只針對了GET請求方式進(jìn)行安全攔截，并沒(méi)有對post的方式進(jìn)行攔截，導致漏洞的發(fā)生。有些客戶(hù)網(wǎng)站使用了token來(lái)防止XSS跨站的攻擊，在設計token的時(shí)候沒(méi)有考慮到空值是否可以繞過(guò)的問(wèn)題，導致可以token為空，就可以直接將惡意代碼傳入到后端中去。還有的網(wǎng)站APP沒(méi)有token的所屬賬戶(hù)進(jìn)行效驗，導致可以利用其它賬戶(hù)的token進(jìn)行CSRF代碼攻擊。

那如何防止XSS csrf攻擊？ 如何修復該網(wǎng)站漏洞

根據我們SINE安全十多年來(lái)總結下來(lái)的經(jīng)驗，針對XSS，csrf漏洞修復方案是：對所有的GET請求，以及POST請求里，過(guò)濾非法字符的輸入。'分號過(guò)濾 --過(guò)濾 %20特殊字符過(guò)濾，單引號過(guò)濾，%百分號，<>,and過(guò)濾，tab鍵值等的的安全過(guò)濾。使用token對csrf的請求進(jìn)行安全效驗與攔截，對token的控制進(jìn)行邏輯功能判斷，如果發(fā)現token值為空，直接返回404錯誤，或者攔截該值為空的請求，還有要對token的所屬賬戶(hù)進(jìn)行效驗，判斷該token是否為當前賬戶(hù)的，如果不是就攔截掉該請求，或者返回錯誤頁(yè)面。

使用session與token的雙層安全效驗，如果seeion與token值不對等，與你的加密算法不一致，就將該請求過(guò)濾攔截掉，如果兩個(gè)的值與加密算出來(lái)的值相等，就是合法的請求，但是加密算法一定要隱藏掉，寫(xiě)入到后端，不要被逆向破解掉。對referer字段進(jìn)行安全效驗，檢查URL是否是白名單里的，對于referer為空直接攔截掉該請求，URL的白名單要含有WWW，拒絕二級域名的請求。以上就是關(guān)于滲透測試中發(fā)現的xss csrf漏洞修復方案，如果您對網(wǎng)站代碼不是太懂的話(huà)，不知道該如何修復漏洞，可以找專(zhuān)業(yè)的網(wǎng)站安全公司來(lái)處理解決，國內SINESAFE，綠盟，啟明星辰，都是比較不錯的網(wǎng)絡(luò )安全公司，針對漏洞的修復就到這里了，安全提示：網(wǎng)站，APP在上線(xiàn)的同時(shí)，一定要對網(wǎng)站進(jìn)行滲透測試服務(wù)，檢測網(wǎng)站存在的漏洞，以及安全隱患，防止后期網(wǎng)站運行中出現一些沒(méi)有必要的損失。