分類目錄歸檔：PHP安全

2016
03-14

PHP安全-Cookie 盜竊

 Cookie盜竊 因使用Cookie而產(chǎn)生的一個(gè)風(fēng)險(xiǎn)是用戶的cookie會(huì)被攻擊者所盜竊。如果會(huì)話標(biāo)識(shí)保存在cookie中，cookie的暴露就是一個(gè)嚴(yán)重的風(fēng)險(xiǎn)，因?yàn)樗軐?dǎo)致會(huì)話劫持。 圖4-2.PHP為你處理相關(guān)會(huì)話管理的復(fù)雜過(guò)程最常見(jiàn)的cookie暴露原因是瀏覽器漏洞和跨站腳本攻擊（見(jiàn)第2章）。雖然現(xiàn)在并沒(méi)有已知的該類瀏覽器漏洞，但是以往出現(xiàn)過(guò)幾例，其中最有名的一例同時(shí)發(fā)生在IE瀏覽器的4.0，5.0，5.5及6.0版本（這些... 繼續(xù)閱讀 >

2016
03-12

PHP安全-數(shù)據(jù)的暴露

數(shù)據(jù)的暴露 關(guān)于數(shù)據(jù)庫(kù)，另外需要關(guān)心的一點(diǎn)是敏感數(shù)據(jù)的暴露。不管你是否保存了信用卡號(hào)，社會(huì)保險(xiǎn)號(hào)，或其它數(shù)據(jù)，你還是希望確認(rèn)數(shù)據(jù)庫(kù)是安全的。 雖然數(shù)據(jù)庫(kù)安全已經(jīng)超出了本書所討論的范圍（也不是PHP開(kāi)發(fā)者要負(fù)責(zé)的），但是你可以加密最敏感的數(shù)據(jù)，這樣只要密鑰不泄露，數(shù)據(jù)庫(kù)的安全問(wèn)題就不會(huì)造成災(zāi)難性的后果。（關(guān)于加密的詳細(xì)介紹參見(jiàn)本書附錄C） 要看圖的話，請(qǐng)至技術(shù)文檔區(qū)下載... 繼續(xù)閱讀 >

2016
03-12

PHP安全-SQL 注入

 SQL注入 SQL注入是PHP應(yīng)用中最常見(jiàn)的漏洞之一。事實(shí)上令人驚奇的是，開(kāi)發(fā)者要同時(shí)犯兩個(gè)錯(cuò)誤才會(huì)引發(fā)一個(gè)SQL注入漏洞，一個(gè)是沒(méi)有對(duì)輸入的數(shù)據(jù)進(jìn)行過(guò)濾（過(guò)濾輸入），還有一個(gè)是沒(méi)有對(duì)發(fā)送到數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行轉(zhuǎn)義（轉(zhuǎn)義輸出）。這兩個(gè)重要的步驟缺一不可，需要同時(shí)加以特別關(guān)注以減少程序錯(cuò)誤。 對(duì)于攻擊者來(lái)說(shuō)，進(jìn)行SQL注入攻擊需要思考和試驗(yàn)，對(duì)數(shù)據(jù)庫(kù)方案進(jìn)行有根有據(jù)的推理非常有必要（當(dāng)然假設(shè)攻擊者... 繼續(xù)閱讀 >

2016
03-12

PHP安全-訪問(wèn)權(quán)限暴露

 訪問(wèn)權(quán)限暴露 數(shù)據(jù)庫(kù)使用中需要關(guān)注的主要問(wèn)題之一是訪問(wèn)權(quán)限即用戶名及密碼的暴露。在編程中為了方便，一般都會(huì)用一個(gè)db.inc文件保存，如：CODE: <?php $db_user='myuser';$db_pass='mypass';$db_host='127.0.0.1'; $db=mysql_connect($db_host,$db_user,$db_pass); ?>用戶名及密碼都是敏感數(shù)據(jù)，是需要特別注意的。他們被寫在源碼中造成了風(fēng)險(xiǎn)，但這是一個(gè)無(wú)法避免的問(wèn)... 繼續(xù)閱讀 >

2016
03-12

PHP安全-HTTP請(qǐng)求欺騙

 HTTP請(qǐng)求欺騙 一個(gè)比欺騙表單更高級(jí)和復(fù)雜的攻擊方式是HTTP請(qǐng)求欺騙。這給了攻擊者完全的控制權(quán)與靈活性，它進(jìn)一步證明了不能盲目信任用戶提交的任何數(shù)據(jù)。  為了演示這是如何進(jìn)行的，請(qǐng)看下面位于http://example.org/form.php的表單：CODE:  <formaction="process.php"method="POST"> <p>Pleaseselectacolor: <selectname="color">  <optionvalue="r... 繼續(xù)閱讀 >

2016
03-12

PHP安全-欺騙表單提交

欺騙表單提交 制造一個(gè)欺騙表單幾乎與假造一個(gè)URL一樣簡(jiǎn)單。畢竟，表單的提交只是瀏覽器發(fā)出的一個(gè)HTTP請(qǐng)求而已。請(qǐng)求的部分格式取決于表單，某些請(qǐng)求中的數(shù)據(jù)來(lái)自于用戶。 大多數(shù)表單用一個(gè)相對(duì)URL地址來(lái)指定action屬性： <formaction="process.php"method="POST">  當(dāng)表單提交時(shí)，瀏覽器會(huì)請(qǐng)求action中指定的URL，同時(shí)它使用當(dāng)前的URL地址來(lái)定位相對(duì)URL。例如，如果之前的表單是對(duì)http://e... 繼續(xù)閱讀 >

2016
03-12

PHP安全-跨站請(qǐng)求偽造

跨站請(qǐng)求偽造 跨站請(qǐng)求偽造(CSRF)是一種允許攻擊者通過(guò)受害者發(fā)送任意HTTP請(qǐng)求的一類攻擊方法。此處所指的受害者是一個(gè)不知情的同謀，所有的偽造請(qǐng)求都由他發(fā)起，而不是攻擊者。這樣，很你就很難確定哪些請(qǐng)求是屬于跨站請(qǐng)求偽造攻擊。事實(shí)上，如果沒(méi)有對(duì)跨站請(qǐng)求偽造攻擊進(jìn)行特意防范的話，你的應(yīng)用很有可能是有漏洞的。  請(qǐng)看下面一個(gè)簡(jiǎn)單的應(yīng)用，它允許用戶購(gòu)買鋼筆或鉛筆。界面上包含下面的表單：CODE:&... 繼續(xù)閱讀 >

2016
03-12

PHP安全-跨站腳本攻擊

 跨站腳本攻擊 跨站腳本攻擊是眾所周知的攻擊方式之一。所有平臺(tái)上的Web應(yīng)用都深受其擾，PHP應(yīng)用也不例外。 所有有輸入的應(yīng)用都面臨著風(fēng)險(xiǎn)。Webmail，論壇，留言本，甚至是Blog。事實(shí)上，大多數(shù)Web應(yīng)用提供輸入是出于更吸引人氣的目的，但同時(shí)這也會(huì)把自己置于危險(xiǎn)之中。如果輸入沒(méi)有正確地進(jìn)行過(guò)濾和轉(zhuǎn)義，跨站腳本漏洞就產(chǎn)生了。 以一個(gè)允許在每個(gè)頁(yè)面上錄入評(píng)論的應(yīng)用為例，它使用了下面的表單幫... 繼續(xù)閱讀 >

2016
03-12

PHP安全-文件上傳攻擊

文件上傳攻擊 有時(shí)在除了標(biāo)準(zhǔn)的表單數(shù)據(jù)外，你還需要讓用戶進(jìn)行文件上傳。由于文件在表單中傳送時(shí)與其它的表單數(shù)據(jù)不同，你必須指定一個(gè)特別的編碼方式multipart/form-data：CODE: <formaction="upload.php"method="POST"enctype="multipart/form-data">一個(gè)同時(shí)有普通表單數(shù)據(jù)和文件的表單是一個(gè)特殊的格式，而指定編碼方式可以使瀏覽器能按該可格式的要求去處理。 允許用戶進(jìn)行選擇文件并上傳的表單... 繼續(xù)閱讀 >

2016
03-12

PHP安全-語(yǔ)義URL攻擊

 語(yǔ)義URL攻擊   好奇心是很多攻擊者的主要?jiǎng)訖C(jī)，語(yǔ)義URL攻擊就是一個(gè)很好的例子。此類攻擊主要包括對(duì)URL進(jìn)行編輯以期發(fā)現(xiàn)一些有趣的事情。例如，如果用戶chris點(diǎn)擊了你的軟件中的一個(gè)鏈接并到達(dá)了頁(yè)面http://example.org/private.php?user=chris,很自然地他可能會(huì)試圖改變user的值，看看會(huì)發(fā)生什么。例如，他可能訪問(wèn)http://example.org/private.php?user=rasmus來(lái)看一下他是否能看到其他人的信息。雖然... 繼續(xù)閱讀 >

2016
03-12

PHP安全-表單與數(shù)據(jù)

表單與數(shù)據(jù)    在典型的PHP應(yīng)用開(kāi)發(fā)中，大多數(shù)的邏輯涉及數(shù)據(jù)處理任務(wù)，例如確認(rèn)用戶是否成功登錄，在購(gòu)物車中加入商品及處理信用卡交易。    數(shù)據(jù)可能有無(wú)數(shù)的來(lái)源，做為一個(gè)有安全意識(shí)的開(kāi)發(fā)者，你需要簡(jiǎn)單可靠地區(qū)分兩類數(shù)據(jù)： l    已過(guò)濾數(shù)據(jù)l    被污染數(shù)據(jù)     所有你自己設(shè)定的... 繼續(xù)閱讀 >

2016
03-11

PHP安全-輸出轉(zhuǎn)義

輸出轉(zhuǎn)義    另外一個(gè)Web應(yīng)用安全的基礎(chǔ)是對(duì)輸出進(jìn)行轉(zhuǎn)義或?qū)μ厥庾址M(jìn)行編碼，以保證原意不變。例如，O'Reilly在傳送給MySQL數(shù)據(jù)庫(kù)前需要轉(zhuǎn)義成O\'Reilly。單引號(hào)前的反斜杠代表單引號(hào)是數(shù)據(jù)本身的一部分，而不是并不是它的本義。    我所指的輸出轉(zhuǎn)義具體分為三步：l    識(shí)別輸出l    輸出轉(zhuǎn)義l   &n... 繼續(xù)閱讀 >

2016
03-11

PHP安全-過(guò)濾輸入

過(guò)濾輸入    過(guò)濾是Web應(yīng)用安全的基礎(chǔ)。它是你驗(yàn)證數(shù)據(jù)合法性的過(guò)程。通過(guò)在輸入時(shí)確認(rèn)對(duì)所有的數(shù)據(jù)進(jìn)行過(guò)濾，你可以避免被污染（未過(guò)濾）數(shù)據(jù)在你的程序中被誤信及誤用。大多數(shù)流行的PHP應(yīng)用的漏洞最終都是因?yàn)闆](méi)有對(duì)輸入進(jìn)行恰當(dāng)過(guò)濾造成的。     我所指的過(guò)濾輸入是指三個(gè)不同的步驟： l    識(shí)別輸入l    過(guò)... 繼續(xù)閱讀 >

2016
03-11

PHP安全-跟蹤數(shù)據(jù)

跟蹤數(shù)據(jù)   作為一個(gè)有安全意識(shí)的開(kāi)發(fā)者，最重要的一件事就是隨時(shí)跟蹤數(shù)據(jù)。不只是要知道它是什么和它在哪里，還要知道它從哪里來(lái)，要到哪里去。有時(shí)候要做到這些是困難的，特別是當(dāng)你對(duì)WEB的運(yùn)做原理沒(méi)有深入理解時(shí)。這也就是為什么盡管有些開(kāi)發(fā)者在其它開(kāi)發(fā)環(huán)境中很有經(jīng)驗(yàn)，但他對(duì)WEB不是很有經(jīng)驗(yàn)時(shí)，經(jīng)常會(huì)犯錯(cuò)并制造安全漏洞。   大多數(shù)人在讀取EMAIL時(shí)，一般不會(huì)被題為"Re:H... 繼續(xù)閱讀 >

2016
03-11

PHP安全-平衡風(fēng)險(xiǎn)與可用性

平衡風(fēng)險(xiǎn)與可用性   用戶操作的友好性與安全措施是一對(duì)矛盾，在提高安全性的同時(shí)，通常會(huì)降低可用性。在你為不合邏輯的使用者寫代碼時(shí)，必須要考慮到符合邏輯的正常使用者。要達(dá)到適當(dāng)?shù)钠胶獾拇_很難，但是你必須去做好它，沒(méi)有人能替代你，因?yàn)檫@是你的軟件。   盡量使安全措施對(duì)用戶透明，使他們感受不到它的存在。如果實(shí)在不可能，就盡量采用用戶比較常見(jiàn)和熟悉的方式來(lái)進(jìn)行。例如，在... 繼續(xù)閱讀 >

2016
03-11

PHP安全-暴露最小化

暴露最小化   PHP應(yīng)用程序需要在PHP與外部數(shù)據(jù)源間進(jìn)行頻繁通信。主要的外部數(shù)據(jù)源是客戶端瀏覽器和數(shù)據(jù)庫(kù)。如果你正確的跟蹤數(shù)據(jù)，你可以確定哪些數(shù)據(jù)被暴露了。Internet是最主要的暴露源，這是因?yàn)樗且粋€(gè)非常公共的網(wǎng)絡(luò)，您必須時(shí)刻小心防止數(shù)據(jù)被暴露在Internet上。   數(shù)據(jù)暴露不一定就意味著安全風(fēng)險(xiǎn)。可是數(shù)據(jù)暴露必須盡量最小化。例如，一個(gè)用戶進(jìn)入支付系統(tǒng)，在向你的服務(wù)器傳輸... 繼續(xù)閱讀 >

2016
03-11

PHP安全-簡(jiǎn)單就是美

 簡(jiǎn)單就是美    復(fù)雜滋生錯(cuò)誤，錯(cuò)誤能導(dǎo)致安全漏洞。這個(gè)簡(jiǎn)單的事實(shí)說(shuō)明了為什么簡(jiǎn)單對(duì)于一個(gè)安全的應(yīng)用來(lái)說(shuō)是多么重要。沒(méi)有必要的復(fù)雜與沒(méi)有必要的風(fēng)險(xiǎn)一樣糟糕。 例如，下面的代碼摘自一個(gè)最近的安全漏洞通告： CODE:  <?php  $search=(isset($_GET['search'])?$_GET['search']:''); ?> ... 繼續(xù)閱讀 >

2016
03-11

PHP安全-最小權(quán)限

最小權(quán)限    我過(guò)去有一輛汽車有一個(gè)傭人鑰匙。這個(gè)鑰匙只能用來(lái)點(diǎn)火，所以它不能打開(kāi)車門、控制臺(tái)、后備箱，它只能用來(lái)啟動(dòng)汽車。我可以把它給泊車員（或把它留在點(diǎn)火器上），我確認(rèn)這個(gè)鑰匙不能用于其它目的。    把一個(gè)不能打開(kāi)控制臺(tái)或后備箱的鑰匙給泊車員是有道理的，畢竟，你可能想在這些地方保存貴重物品。但我覺(jué)得沒(méi)有道理的是為什么它不能開(kāi)車門。當(dāng)然，這是因?yàn)槲?.. 繼續(xù)閱讀 >

2016
03-11

PHP安全-深度防范

深度防范    深度防范原則是安全專業(yè)人員人人皆知的原則，它說(shuō)明了冗余安全措施的價(jià)值，這是被歷史所證明的。    深度防范原則可以延伸到其它領(lǐng)域，不僅僅是局限于編程領(lǐng)域。使用過(guò)備份傘的跳傘隊(duì)員可以證明有冗余安全措施是多么的有價(jià)值,盡管大家永遠(yuǎn)不希望主傘失效。一個(gè)冗余的安全措施可以在主安全措施失效的潛在的起到重大作用。    回到編程領(lǐng)... 繼續(xù)閱讀 >

2016
03-11

PHP安全-錯(cuò)誤報(bào)告

錯(cuò)誤報(bào)告沒(méi)有不會(huì)犯錯(cuò)的開(kāi)發(fā)者，PHP的錯(cuò)誤報(bào)告功能將協(xié)助您確認(rèn)和定位這些錯(cuò)誤。可以PHP提供的這些詳細(xì)描述也可能被惡意攻擊者看到，這就不妙了。使大眾看不到報(bào)錯(cuò)信息，這一點(diǎn)很重要。做到這一點(diǎn)很容易，只要關(guān)閉display_errors，當(dāng)然如果您希望得到出錯(cuò)信息，可以打開(kāi)log_errors選項(xiàng)，并在error_log選項(xiàng)中設(shè)置出錯(cuò)日志文件的保存路徑。    由于出錯(cuò)報(bào)告的級(jí)別設(shè)定可以導(dǎo)致有些錯(cuò)誤無(wú)法發(fā)現(xiàn)，您至少... 繼續(xù)閱讀 >

2016
03-11

PHP安全-全局變量與注冊(cè)

1.全局變量注冊(cè)如果您還能記起早期WEB應(yīng)用開(kāi)發(fā)中使用C開(kāi)發(fā)CGI程序的話，一定會(huì)對(duì)繁瑣的表單處理深有體會(huì)。當(dāng)PHP的register_globals配置選項(xiàng)打開(kāi)時(shí)，復(fù)雜的原始表單處理不復(fù)存在，公用變量會(huì)自動(dòng)建立。它讓PHP編程變得容易和方便，但同時(shí)也帶來(lái)了安全隱患。事實(shí)上，register_globals是無(wú)辜的，它并不會(huì)產(chǎn)生漏洞，同時(shí)還要開(kāi)發(fā)者犯錯(cuò)才行。可是，有兩個(gè)主要原因?qū)е铝四仨氃陂_(kāi)發(fā)和布署應(yīng)用時(shí)關(guān)閉register_globals：第一，... 繼續(xù)閱讀 >