商丘做网站,商丘网站优化,商丘网络推广,商丘网络公司
当前位置:首页 > 新闻资讯 > 建站经验 >

「合川市网站建设」Laravel框架网站漏洞测试与修复

发表日期:2019-10-24 18:41聚圣源浏览次数: 本文关键词:合川市网站建设,Laravel,框架,网站,漏洞,

Laravel框架是现在很多网站,APP运营者都在利用的一款开辟框架,正由于利用的网站较多,很多打击者都在不绝的对该网站举行毛病测试,我们SINE宁静在对该套体系举行毛病测试的时间,发明存在REC毛病.重要是XSRF毛病,下面我们来具体的阐发毛病,以及怎样使用,毛病修复等三个方面举行全面的记载.

该Laravel REC毛病的使用是必要条件的,必须满意APP_KEY泄漏的环境下才气乐成的使用与触发,我们SINE宁静技能在团体的毛病测试与复现历程里,共发明2个地方可以导致网站毛病的产生,第一个是Post数据包里的cookies字段,再一个是HTTP header字段可以插入恶意的共计代码到网站后端中去.

我们来搭建一下网站毛病测试的情况,利用linux centos体系,PHP5.5版本,数据库是mysql,利用apache情况来搭建,利用的Laravel版本为5.6.2吴忠8.起首我们去官方下载该版本,并解压到apache设置的网站目次路径.起首我们post数据已往可以看到我们代码里,会调用十几个类,并将类里的工具举行调用,参数赋值,而在cookies和verifycsrftoken值里发明可以利用app_key举行毛病使用,起首我们利用cookies来复现看下:

「合川市网站建设」Laravel框架网站漏洞测试与修复

代码如下:

POST / HTTP/1.2

Host: 127.0.0.2:80

Cookie: safe_SESSION=PHPSTORM; 5LqG5L+d6K+B5omA6L6T5Ye655qE57yW56CB5L2N5Y+v6K+75a2X56ym77yMQmFzZTY05Yi25a6a5LqG5LiA5Liq57yW56CB6KGo77yM5Lul5L6/6L+b6KGM57uf5LiA6L2s5o2i44CC57yW56CB6KGo55qE5aSn5bCP5Li6Ml42PTY077yM6L+Z5Lmf5pivQmFzZTY05ZCN56ew55qE55Sx5p2l44CCDQoNCkJhc2U2NOe8lueggeihqA==;

Content-Type: application/x-www-form-

Connection: open

Content-Length: 1

上面的代码中在cookies栏里.加密的值就是我们要伪造的打击代码,将该POST哀求提交到网站中去,起首会对APP_key举行解密并赋值已往,假如解密乐成的话, 哪么就会效验cookies里的值,并对其举行反序列的操纵,进而导致毛病的产生,就会触发RCE毛病了.

http header方法的毛病使用,我们毛病测试一下,起首也是结构跟cookies差不多的代码,如下:

POST / HTTP/1.2

Host: 127.0.0.2:80

X-XSRF-TOKEN: +B5omA6L6T5Ye655qE57yW56CB5L2N5Y+v6K+75a2X56ym77yMQmFzZTY05Yi25a6a5LqG5LiA5Liq57yW56CB6KGo77yM5Lul5L6/6L+b6KGM57uf5LiA6L2s5o2i44CC57yW56CB6KGo55qE5aSn5bCP5Li6Ml42PTY077yM6L+Z5Lmf5pivQmFzZTY05ZCN56ew55qE55Sx5p2l44CCDQoNCkJhc2U2NOe8lueggeihqA==;

Content-Type: application/x-www-form-

Connection: open

Content-Length: 1

「合川市网站建设」Laravel框架网站漏洞测试与修复

这里看这个X-XSRF-TOKEN:值,Laravel 框架在提交历程中会去判定并效验这个值,假如解密乐成就会举行反序列化的操纵,这里就不再逐一的先容与表明了.

那怎样对Laravel的毛病举行修复?

我们SINE宁静技能对Laravel的版本举行升级发明,最新的5.6.30版本已经对该rce毛病举行了修复,在我们对代码的比对中看出,对cookies的解密并剖析操纵举行了判定,多写了static::serialized() 值,同样的在X-XSRF-TOKEN里也参加了这个值.假如您对代码不是太懂的话,也可以找专业的网站宁静公司来举行修复,海内SINESAFE,绿盟,启明星辰,都是比力不错的,针对付Laravel的网站毛病检测与测试就到此,也盼望通过这次的分享,让更多的人相识网站毛病,毛病的产生缘故原由,以及该怎样修复毛病,网站宁静了,我们才气放开手脚去开辟市 场,做好营销.

如没特殊注明,文章均来自网络! 转载请注明来自:http://www.jushengyuan.com.cn/news/jzjy/16837.html

网站设计案例推荐

热门文章

站长工具综合查询里面SSL证书不...

SSL证书不安全是怎么回事?但是点进去这个提示后,显示的是别人的tdk是不是被劫持或者被黑了?...

日期:2018-03-27 浏览次数:2087

简洁而实用的版权信息可增色网...

打开网站,人们自然会从上往下浏览,首先映入眼帘的一定是BANNER主视觉,然后是网站主体内容部分。相比较而言,注意到网站底部版权信息的浏览者确实不多,但这并说明网站版权信...

日期:2018-09-20 浏览次数:1910

网站设计需要注意的3点问题...

对于网站设计来讲会受到很多因素的影响,而且不同类型的网站,在设计时需要体现的元素也不一样,比如说对于一个企业网站更想体现出品牌以及产品的特点,主要是对产品、企业信...

日期:2018-02-12 浏览次数:1826

企业网站为什么要改版 改版选择...

网站改版,是每个建站企业必须面临的工作。相信也有不少站长问,已经做好的企业网站,为何还要大费周章重新进行改版设计呢?下面小编就来给大家说说,企业究竟为什么要改变,并...

日期:2018-03-26 浏览次数:1360

永城网站制作:模板建站不可不...

随着互联网建站尤其是自助建站热潮不断高涨,建站行业涌现出越来越多的自助建站平台,这些平台普遍都提供网站模板可选。...

日期:2018-04-30 浏览次数:958

相关文章

网站建设中关于搜索框架的设计...

经常浏览网站的人应该都非常的清楚,当我们浏览网页时,搜索框是我们访问网站最后的一个关卡,一旦网站中有很多的产品,服务,功能时,这时如果我们想要找到自己想要的内容,...

日期:2018-01-14 浏览次数:74

从网站建设的WEB框架,来学习搭...

互联网发展到今天,网站建设已经变得很简单,基本上大部分SEO学习者都是采用程序加模板的方式,来搭建网站。当然,高手更愿意DIY自己的网站,这样不会显得雷同,同时方便更新和维护,...

日期:2017-07-01 浏览次数:12

随机推荐

QQ邮箱接收不到GoDaddy邮件怎么办...

建站宝盒操作教程之如何制作微...

如何利用江湖商圈O2O系统快速引...

回顾中国三大黑客培训网站 探寻...

「江苏做网站」建站:用户的大...

又有新功能上线?BAOCMS增加酒店...