So verhindern Sie Webangriffe – Sicherheitsprobleme, die PHP-Anfänger kennen müssen

Häufige Webangriffe werden in zwei Kategorien unterteilt: Die eine besteht darin, die Schwachstellen des Webservers für Angriffe auszunutzen, z. B. einen CGI-Pufferüberlauf, die Ausnutzung von Schwachstellen beim Verzeichnisdurchlauf und andere Angriffe. Die andere besteht darin, die Sicherheitslücken des Webs auszunutzen Seite selbst, wie SQL-Injection, Cross-Site-Scripting-Angriffe usw.

Heute wird unsere chinesische PHP-Website Freunde dazu bringen, die Sicherheitsprobleme im Zusammenhang mit PHP zu verstehen.

Zunächst können Sie sich das Online-Tutorial ansehen: php Chinesisches Handbuch zur Sicherheit .

Ein unverzichtbares PHP-Video-Tutorial für Anfänger: Dugu Jiujian (4)_PHP-Video-Tutorial

SQL-Injection-Angriff (SQL-Injection)

Der Angreifer fügt SQL-Befehle in das Eingabefeld des Webformulars oder die Zeichenfolge der Seitenanforderung ein und verleitet so den Server zur Ausführung bösartiger SQL-Befehle. In einigen Formularen wird der vom Benutzer eingegebene Inhalt direkt zum Erstellen (oder Beeinflussen) dynamischer SQL-Befehle oder als Eingabeparameter von gespeicherten Prozeduren verwendet. Solche Formulare sind besonders anfällig für SQL-Injection-Angriffe.

Zu den gängigen SQL-Injection-Angriffsprozessen gehören:

1 Eine bestimmte Webanwendung verfügt über eine Anmeldeseite, die steuert, ob der Benutzer auf die Anwendung zugreifen kann. Der Benutzer muss einen Namen und ein Passwort eingeben.

2. Der auf der Anmeldeseite eingegebene Inhalt wird direkt zum Erstellen dynamischer SQL-Befehle oder direkt als Parameter gespeicherter Prozeduren verwendet >

Zum Beispiel:

$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;

3. Der Angreifer gibt etwas wie ' oder '1'='1 in das Eingabefeld für Benutzername und Passwort ein; 🎜>4. Nachdem der vom Benutzer eingegebene Inhalt an den Server übermittelt wurde, führt der Server den obigen Code aus, um einen SQL-Befehl zur Abfrage des Benutzers zu erstellen. Da der vom Angreifer eingegebene Inhalt jedoch sehr speziell ist, ist der letzte SQL-Befehl wird zu:

5. Der Server führt eine Abfrage oder gespeicherte Prozedur aus, um die vom Benutzer eingegebenen Identitätsinformationen mit den auf dem Server gespeicherten Identitätsinformationen zu vergleichen. Da der SQL-Befehl tatsächlich in den modifizierten Angriffsstil eingefügt wurde, kann er die Identität des Benutzers nicht mehr wirklich authentifizieren, sodass das System den Angreifer fälschlicherweise autorisiert.

SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'；

Wenn ein Angreifer weiß, dass die Anwendung den im Formular eingegebenen Inhalt direkt für Abfragen zur Identitätsprüfung verwenden wird, wird er versuchen, einige spezielle SQL-Zeichenfolgen einzugeben, um die Abfrage zu manipulieren und ihre ursprüngliche Funktionalität zu ändern täuschen Das System gewährt Zugriff.

Unterschiedliche Systemumgebungen bedeuten, dass auch der Schaden, den ein Angreifer anrichten kann, unterschiedlich ist, was hauptsächlich durch die Sicherheitsberechtigungen der Anwendung für den Zugriff auf die Datenbank bestimmt wird. Wenn das Konto des Benutzers über Administrator- oder andere relativ erweiterte Berechtigungen verfügt, kann der Angreifer verschiedene Vorgänge an den Datenbanktabellen ausführen, die er ausführen möchte, darunter das Hinzufügen, Löschen oder Aktualisieren von Daten oder sogar das direkte Löschen der Tabelle

Präventionsmethoden:

1. Überprüfen Sie den Datentyp der Variablen und das Format
2 . Spezielle Symbole filtern

3. Variablen binden und vorkompilierte Anweisungen verwenden

Cross Site Scripting (XSS)

Der Angreifer fügt bösartigen Code in die Webseite ein und andere Benutzer führen den Code aus, wenn die Webseite geladen wird. Der Angreifer kann höhere Berechtigungen erhalten (z. B. das Ausführen einiger Vorgänge), alles aus privaten Webinhalten zu Sitzungen und Cookies. Bei diesen Schadcodes handelt es sich in der Regel um JavaScript, HTML und andere clientseitige Skriptsprachen.

Zum Beispiel: Wenn ein Skript übergeben wird, wird das Skript auch ausgeführt. Bei Verwendung einer solchen URL wird die JavaScript-Warnfunktion ausgeführt und ein Dialogfeld angezeigt:

<?php
echo "欢迎您，".$_GET[&#39;name&#39;];

Häufig verwendete Angriffsmethoden sind:

3f1c4e4b6b16bbbd69b2ee476dc4f83a[code]2cacc6d41bbb37262a98f745aa00fbf0http://localhost/test.php?name=3f1c4e4b6b16bbbd69b2ee476dc4f83aalert(123456)2cacc6d41bbb37262a98f745aa00fbf0
Diebstahl von Cookies, um vertrauliche Informationen zu erhalten;

Verwenden Sie iframe, Frame, XMLHttpRequest oder das oben genannte Flash, um als (angegriffener) Benutzer einige Verwaltungsaktionen durchzuführen oder einige allgemeine Aufgaben wie das Posten auf Weibo auszuführen , Freunde hinzufügen, private Nachrichten senden usw.;

Nutzen Sie die Tatsache, dass die angreifbare Domäne von anderen Domänen als vertrauenswürdig eingestuft wird, und verwenden Sie die Identität einer vertrauenswürdigen Quelle, um einige Vorgänge anzufordern ;

XSS auf einigen häufig besuchten Seiten kann einige kleine Websites angreifen und den Effekt eines DDoS-Angriffs erzielen.

Präventionsmethode: Verwenden Sie die Funktion

htmlspecialchars
, um die

Sonderzeichen

in HTML-Codierung umzuwandeln und die Ausgabevariablen zu filtern

跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)

攻击者伪造目标用户的HTTP请求，然后此请求发送到有CSRF漏洞的网站，网站执行此请求后，引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法权限，所以目标用户能够在网站内执行特定的HTTP链接，从而达到攻击者的目的。

它与XSS的攻击方法不同，XSS利用漏洞影响站点内的用户，攻击目标是同一站点内的用户者，而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。

例如:

某个购物网站购买商品时，采用shop.com/buy.php?item=watch&num=100
item参数确定要购买什么物品，num参数确定要购买数量，如果攻击者以隐藏的方式发送给目标用户链接那么如果目标用户不小心访问以后，购买的数量就成了100个

防范方法：

      1、检查网页的来源

      2、检查内置的隐藏变量

      3、使用POST，不要使用GET，处理变量也不要直接使用$_REQUEST

Session固定攻击(Session Fixation)

这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session id来访问被攻击的应用程序，一旦用户的会话ID被成功固定，攻击者就可以通过此session id来冒充用户访问应用程序。

例如:

1.攻击者访问网站bank.com，获取他自己的session id，如：SID=123；
2.攻击者给目标用户发送链接，并带上自己的session id，如：bank.com/?SID=123；
3.目标用户点击了bank.com/?SID=123，像往常一样，输入自己的用户名、密码登录到网站；
4.由于服务器的session id不改变，现在攻击者点击bank.com/?SID=123，他就拥有了目标用户的身份，可以为所欲为了。

防范方法：

1.定期更改session id

session_regenerate_id(TRUE);//删除旧的session文件，每次都会产生一个新的session id。默认false，保留旧的session

2.更改session的名称

session的默认名称是PHPSESSID，此变量会保存在cookie中，如果攻击者不抓包分析，就不能猜到这个名称，阻挡部分攻击

session_name("mysessionid");

3.关闭透明化session id

透明化session id指当浏览器中的http请求没有使用cookie来制定session id时，sessioin id使用链接来传递

int_set("session.use_trans_sid", 0);

4.只从cookie检查session id

int_set("session.use_cookies", 1);//表示使用cookies存放session id
int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id

5.使用URL传递隐藏参数

$sid = md5(uniqid(rand()), TRUE));
$_SESSION["sid"] = $sid;//攻击者虽然能获取session数据，但是无法得知$sid的值，只要检查sid的值，就可以确认当前页面是否是web程序自己调用的

Session劫持攻击(Session Hijacking)

会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id，那么攻击者可以利用目标用户的身份来登录网站，获取目标用户的操作权限。

攻击者获取目标用户session id的方法:

1.暴力破解:尝试各种session id，直到破解为止;

2.计算:如果session id使用非随机的方式产生，那么就有可能计算出来;

3.窃取:使用网络截获，xss攻击等方法获得

防范方法：

      1.定期更改session id

      2.更改session的名称

      3.关闭透明化session id

      4.设置HttpOnly。通过设置Cookie的HttpOnly为true，可以防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。

文件上传漏洞攻击(File Upload Attack)

文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。

常用的攻击手段有：

上传Web脚本代码，Web容器解释执行上传的恶意脚本；

上传Flash跨域策略文件crossdomain.xml，修改访问权限(其他策略文件利用方式类似)；

上传病毒、木马文件，诱骗用户和管理员下载执行；

上传包含脚本的图片，某些浏览器的低级版本会执行该脚本，用于钓鱼和欺诈。

Im Allgemeinen sind die verwendeten hochgeladenen Dateien entweder ausführbar (bösartiger Code) oder können das Serververhalten beeinflussen (Konfigurationsdatei ).

Präventionsmethoden:

1. Das Verzeichnis für den Datei-Upload ist auf nicht ausführbar gesetzt;

2. Bestimmen Sie den Dateityp und legen Sie eine Whitelist fest. Für die Bildverarbeitung können Sie die Komprimierungsfunktion oder die Größenänderungsfunktion verwenden, um das Bild zu verarbeiten und dabei den möglicherweise im Bild enthaltenen HTML-Code zu zerstören.

3. Verwenden Sie Zufallszahlen, um den Dateinamen neu zu schreiben Dateipfad: Einer soll hochgeladen werden. Danach ist der Zugriff auf Dateien wie „shell.php.rar.rar“ und „crossdomain.xml“ aufgrund der Umbenennung nicht mehr möglich Der Domänenname des Dateiservers muss separat angegeben werden: Aufgrund der Same-Origin-Richtlinie des Browsers ist eine Reihe clientseitiger Angriffe unwirksam, z. B. das Hochladen von crossdomain.xml und das Hochladen von XSS-Exploits mit Javascript usw. werden behoben.

Empfohlene verwandte Artikel:

1. Wie man eine hochsichere PHP-Website erstellt, Zusammenfassung der Sicherheitsprobleme, die bei der Erstellung einer Website beachtet werden müssen

2. Eine Zusammenfassung der Sicherheitsprobleme, die bei der Verwendung schwacher PHP-Typen beachtet werden müssen