用戶的隱私信息屬於數據的保護的最高級別，也是最重要的一部分數據，在邏輯漏洞當中屬於敏感信息泄露，有些敏感信息還包括了系統的重要信息，比如服務器的版本linux或者windows的版本，以及網站使用的版本，比如php版本，mysql版本，系統開發的版本，像dedecms,ECShop版本等等的信息都屬於敏感信息的一部分。這些數據如果被泄露出去，那麽***者就會嘗試多個方法對系統進行***，獲取到的敏感信息越多，系統受***的程度越大。有一些網站的敏感信息包括客戶的註冊資料，手機號，×××號碼及掃描件，名字，年月日。這些用戶的資料如果被泄漏直接受危害的就是客戶本身，比如這次酒店客戶資料泄漏事件的發生，帶來的危害太大了。

那麽邏輯漏洞的產生導致敏感信息泄漏主要的過程是什麽呢？首先通過用戶資料敏感信息的傳輸過程，傳輸到網站系統裏去並展示，網站的前端以及APP客戶端的代碼註釋，再經由錯誤代碼的安全測試，都會導致敏感信息的泄漏。

用戶資料敏感信息是整個系統當中最重要的一部分，打比方，客戶要註冊一個網站，首先會填寫註冊資料到網站裏去，再點擊提交，再客戶提交到服務器端的時候，如果網站沒有加密或者使用SSL證書加密，都會被***者截取獲取到客戶註冊資料內容，導致用戶敏感信息泄漏。

舉一個簡單例子就是某個網站在修改當前用戶密碼的過程當中，我們SINE安全公司對其進行測試發現post數據裏的內容竟然都是明文保存的密碼，導致可以被***者獲取到，進而盜取用戶賬號密碼。

一些敏感信息的顯示過程也會泄漏信息，很多網站的開發過程中沒有對用戶的賬號密碼這些信息進行加密導致用戶登錄頁面可以看到明文的代碼。登錄系統查看源代碼就可以看到密碼。這樣也就等於告訴了***者，***者直接登錄了網站的後臺。如下圖：

網站前端、APP客戶端代碼的註釋導致的泄漏，我們舉個簡單的例子，某客戶的網站後臺管理用戶登錄的頁面，我們安全檢測發現註釋代碼裏竟然寫了網站的管理員賬號密碼，雖然是註釋過的代碼，但是仔細一看還是會發現問題。

網站邏輯漏洞修復方案

越來越多的用戶敏感信息泄漏事情的發生讓我對於用戶的數據安全擔憂，不得不保護好網站的安全以及用戶的敏感數據。關於邏輯漏洞的修復方案，首先從代碼進行安全檢測，存儲用戶密碼的地方進行嚴格的過濾，再一個就是敏感的信息在傳輸過程，以及顯示到網站裏的時候都要進行加密，MD5加密，數據SSL加密傳輸，重要的數據盡可能的使用POST的提交方式進行，用戶密碼要使用加強的加密方式MD5+特殊編碼的方式進行加密，對於網站的一些報錯頁面也要禁止掉回顯，網站邏輯漏洞修復，需要很多專業的知識，也不僅僅是知識，還需要大量的經驗積累，所以從做網站到維護網站，維護服務器，盡可能找專業的網站安全公司來解決問題，國內也就Sinesafe和綠盟、啟明星辰等安全公司比較專業.

希望以上對邏輯漏洞的介紹，以及邏輯漏洞的修復方案能幫到正在需要的你，安全你我他，有多分享，就有多安全。

網站安全之邏輯漏洞檢測 附網站漏洞修復方案