PHP クロスサイト攻撃インスタンス分析、PHP クロスインスタンス分析_PHP チュートリアル

phpクロスサイト攻撃インスタンス分析、phpクロスインスタンス分析

この記事の例では、PHP クロスサイト攻撃の原理と防止手法について説明します。参考のためにみんなで共有してください。具体的な手法の分析は次のとおりです:

クロスサイト攻撃は、プログラムの詳細やバグを悪用することによって実行されます。では、クロスサイト攻撃を防ぐにはどうすればよいでしょうか?以下はクロスサイト攻撃を防ぐ例です。ご参考になれば幸いです。

コードをコピーします コードは次のとおりです:

#csrf を防ぐためのデモ
/**
*エンク
*/
関数暗号化($token_time) {
return md5('!@##$@$$#%43' . $token_time);
}
$token_time = time();
$token = 暗号化($token_time);
$expire_time = 10;
if ($_POST) {
$_token_time = $_POST['token_time'];
$_token = $_POST['トークン'];
if ((time() – $_token_time) > $expire_time) {
「期限切れのトークン」をエコーし​​ます;
エコー「
」;
}
エコー $_token;
エコー「
」;
$_token_real = 暗号化($_token_time);
エコー $_token_real;
// $_token と $_token_real を比較します
}
?>


<頭>

;



<フォームメソッド=”ポスト”アクション=””>

” ”

フォームに確認コードを含めることで、クロスサイト リクエスト フォージェリ攻撃のリスクを実質的に排除できます。このフローは、アクションを実行する必要がある任意のフォームで使用できます
もちろん、トークンをセッションに保存する方が良いです。これは単なる例です
。
簡単な分析:

トークン攻撃の防止は、ユーザーがページにアクセスすると、セッションとフォームを保存するためのランダムなトークンを生成します。ユーザーが取得したトークンがセッションと異なる場合、ユーザーは送信して再送信できます。提出データを入力します。

この記事で説明した内容が皆様の PHP プログラミング設計に役立つことを願っています。

この PHP ファイルはクロスサイト スクリプティングの脆弱性として検出されました。修正方法は? ?緊急

if($rw_uid = intval($rws[0])) { $rw_uid は判定によるクロスサイトスクリプティングの脆弱性のようです

例: $_GET['rewrite'] = '123_js';

では判定方法が理想的です 得られた結果は $_GET['uid'] = 123; $_GET['do'] = 'js';

ただし、判定に従って $_GET['rewrite'] = 'js'; result is等しい $_GET[ 'do'] = 'js';

これは、侵入がこの形式のnumber_stringであることが厳密に要求される場合、パラメータを厳密にフィルタリングする必要があります
。


Websaber を使用して PHP Web サイトのクロスサイト スクリプティングの脆弱性を評価します

防止方法も簡単です: 1. プログラム コードの抜け穴は、通常、ハッキングされた後でのみ修正する必要があります。 2. セキュリティ会社を通じて修正することもできます。 Sinesafe や NSFOCUS などの国内のセキュリティ会社は、この問題を解決できます。

3. 「読み取り」、「書き込み」、「実行」、「スクリプトを許可するかどうか」などのサーバー ディレクトリの権限。長期にわたって使用および管理されている仮想空間プロバイダーによって提供される空間は、ハッキングされる可能性を効果的に減らすことができます。

私は IDC 業界に従事しています。上記は私が日常の仕事でよく遭遇する質問でもあります。私の回答がお役に立てば幸いです。




http://www.bkjia.com/PHPjc/901279.html

www.bkjia.com

tru​​ehttp://www.bkjia.com/PHPjc/901279.html技術記事 PHP クロスサイト攻撃インスタンス分析、PHP クロスインスタンス分析 この記事では、PHP クロスサイト攻撃の原理と防止手法について例を示して説明します。参考のためにみんなで共有してください。具体的な手口分析は以下の通りです: クロスサイト攻撃...