客户公司用测评软件测评了我们的项目,发现几个安全漏洞,sql注入和xss攻击的,我看了出现安全漏洞的服务端程序代码,发现基本上都是页面向服务端发送get或者post数据的地方出现的漏洞,后端接收数据用的是CI框架自带的input类,可以过滤用户输入的信息,而且CI的csrf配置项也已经开启
测试工具:
漏洞概况:
有几个头疼的地方:
原先接收get和post数据的代码是这样写的$this->input->get('section_id),项目中的其他地方都是这样接收的,按理说是已经做了过滤和安全防范的,为什么还会出现这样的漏洞?
如果服务端接收get、post数据这里出了问题,那理应项目中所有采用这种方式的地方全都应该有漏洞才对,为什么只有极个别地方出现了这样的漏洞?
客户只看检测数据,我该如何向他们解释和沟通?
求指教~
Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
2
614
收藏
我对RSAS和BVS了解来说,你这个问题不修复一直会扫描到,而最根本的办法就是解决掉这些问题,自己去发现漏洞,客户担心可能不是别人攻击他,而是内部人利用漏洞做后门程序,有些客户极少的留有解释的余地。