弘帝企业智能建站系统交流平台

 找回密码
 立即注册
查看: 3259|回复: 1

客户反映的安全漏洞说明!

[复制链接]
发表于 2019-5-23 07:13:32 | 显示全部楼层 |阅读模式
接获来自重庆某桥梁公司的安全性重要截图报告:
当网址:xxxxx-xx为隐藏域名
http://xxxxx-xx.com/?pid=12%27%22()%26%25<acx><ScRiPt%20>alert(20190226)</ScRiPt>
发现提示:非法操作。并正常进入网页后提示出错信息:Error: GetContentDetail语法错误 (操作符丢失) 在查询表达式 'HD_ID=' 中。
客户要求我司对该网站进行服务器端特殊字符过滤。

从上其实可以看出,其实弘帝建站系统已经截获“非法操作”这一非正常入侵状态。
事实上,我司已经对非法字符的网址进行了过滤,并且正确反映在“Error: GetContentDetail语法错误 (操作符丢失) 在查询表达式 'HD_ID=' 中”。
我们的作法:只要PID是非数字型字符,系统全部认为非法攻击。
当然这种提示也是为了客户便宜举报出错原因,同时也利于程序员检查出错方向和分析具体原因,为记录黑客行迹与攻击行为制定反制策略,节省大量时间。
我们没有终止黑客行为,是有意设置陷阱,让黑客户认为可能存在漏洞而采用更多的办法与策略进行操作,实际对方的所有操作,我们都一一记录在案。
对于非法字符的尝试性攻击和破解数据库,我们已经做了万全之策,客户完全可以放心使用,这一似乎的漏洞已经在我们的掌控之内,黑客暂时无法获得数据库和网站安全的控制权。
也希望有关安全公司了解,这并不是真正的漏洞。

我们也意识到这种提示,也可能给黑客带来了攻击头绪,我们将做以下安排:
发现PID非数字字符,立即关闭网页,让黑客死心,无意二次发生攻击行为。同时,我们将收集黑客攻击IP的来源,并第一时间将攻击信息传给开发人员EMAIL,促进系统改进。
如您有更好的办法,欢迎与我们的服务商联系,如有我们的做法有异议,欢迎指正。
预计完成时间:由于并不是真正的漏洞,就以上给出的解决方案预计本周内完成。
回复

使用道具 举报

 楼主| 发表于 2019-5-23 10:12:12 | 显示全部楼层

弘帝建站系统安全防范机制,您不能不知道!

1、该司整站执行文件,只有index一个文件,而index文件行数其实只有3行。这提供了攻击入口的唯一性,极大了减少了多文件被攻击风险,增加了网站安全上百上千倍。
2、index只有3行,攻击无效,改写就出错,客户很容易在第一时间被发现出错。
3、index追加可跨域的js,意义不大,弘帝建站系统每月4次以上升级,每年上百次升级,每次升级都有完整的升级包,即每次升级后,就会把原来被攻击的源码替换新的升级包,即正确的源码。
4、index只有3行,那么怎么执行那么复杂的文件?其实index是通过调用组件DLL来执行的,而DLL不在WEB目录里,所以破坏WEB里的任何文件,都不可能破坏DLL核心文件,除非整台服务器被黑,否则就算IIS黑了也不能让DLL破坏。
5、弘帝建站系统有个巨大的漏洞,就是登陆后台可以添加JS和CSS,这个非常可怕,所以第一时间,我们已经将上面安全网站的密码重置,要求客户自行重设密码
6、我们发现了后台整站布局管理里的高级功能项:自定义JS添加了,<div style="text-align:center"><iframe frameborder="0" height="90" width="90" allowtransparency="true" scrolling="no" src="http://www.cqgseb.gov.cn/ztgsgl/WebMonitor/GUILayer/eImgMana/gshdimg.aspx?sfdm=120171221151253348496"></iframe></div>这一字样,经分析可能相关政府安全部门要求添加的内容,应该不属于密码被泄事件
7、同时,我们获知其网站所在地区安全管理部门发现存XSS风险,但由于截图不清晰,无法获知XSS风险来源,我们正在努力了解并控制其风险的存在,正在要求对方提供更清晰的截图。

我们也不得不提一下:
XSS危害性其实并不是那么可怕,一般被黑客用来挂马,并不会危害数据库系统,所以属于非可怕的高危漏洞。
对于弘帝建站系统,我们曾经发现早期部分客户密码为admin(公开测试密码)的部分网站被利用,我们在发现后及时强制性修改密码,将原admin密码改成了公知的6位数字测试密码(2018年后改成了公知的10位数字测试密码),同时客户自定义密码要求8位以上复杂字母数字组合,我们给客户强制设置的密码更是超过12位,连我们自己都不知道的随机大小写字母数字组合密码。同时,密码登陆可使用5次,可猜测性的密码安全性得到巩固。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|弘帝企业智能建站系统 ( 皖ICP备07503252号 )

GMT+8, 2024-11-24 06:55 , Processed in 0.047239 second(s), 16 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表