PHP セキュリティ - リプレイ攻撃-PHPチュートリアル-php.cn

ホームページ

バックエンド開発

PHPチュートリアル

PHP セキュリティ - リプレイ攻撃

黄舟

Feb 20, 2017 am 09:43 AM

php安全性

リプレイアタック

リプレイ攻撃 (デモンストレーション攻撃とも呼ばれます) は、正規のユーザーによって以前にサーバーに送信されたデータを攻撃者がリプレイして、そのユーザーに割り当てられたアクセス権やその他の権限を取得する攻撃です。

パスワードスニッフィングと同様、リプレイ攻撃を防ぐにはデータの漏洩を認識する必要があります。リプレイ攻撃を防ぐには、制限されたリソースへのアクセスに使用されるデータを攻撃者が取得することをより困難にする必要があります。これには主に、次の行為を避ける必要があります:

保護されたリソースへの永続的なアクセスを設定するデータの使用

保護されたリソースへのアクセスを設定するデータの公開 (一時的なアクセスのみを提供するものであっても);

このように、保護されたリソースへの一時的なアクセスを確立するデータのみを使用し、このデータの漏洩を避けるように努める必要があります。これらは単なる一般的なガイドラインですが、運用方法についての指針となります。

私の知る限り、最初の原則は恐ろしいほど頻繁に破られています。多くの開発者は、機密データを暴露から保護することだけに重点を置き、保護されたリソースへの永続的なアクセスを設定するために使用されるデータが使用されるときに生じるリスクを無視しています。

たとえば、フォーム検証フォームのパスワードのハッシュを計算するローカルスクリプトについて考えてみましょう。この方法では、パスワードの平文は公開されず、そのハッシュ値のみが公開されます。これにより、ユーザーの元のパスワードが保護されます。このプロセスの主な問題は、リプレイの脆弱性が変わらないことです。攻撃者は正規の認証プロセスを一度リプレイして認証に合格することができ、ユーザーのパスワードが一貫している限り、認証プロセスは成功します。

より安全な操作ソリューション、MD5 JavaScript ソースファイル、およびその他のアルゴリズムについては、http://www.php.cn/ を参照してください。

最初の原則に対する同様の違反は、リソースへの永続的なアクセスを提供するために Cookie を指定することです。たとえば、Cookie を設定して永続的アクセスメカニズムを実行する次の試みを考えてみましょう:

CODE:
 
  <?php
  $auth = $username . md5($password);
  setcookie(&#39;auth&#39;, $cookie);
  ?>

認証されていないユーザーが認証 Cookie を提供した場合、プログラムは Cookie 内のパスワードのハッシュを確認します。値はデータベースに保存されているパスワードのハッシュと一致します。それらが一致する場合、ユーザーは認証されます。

このプロセスの問題は、認証 Cookie が漏洩するリスクが非常に大きいことです。それが捕捉されると、攻撃者は永続的なアクセスを取得します。正規ユーザーの Cookie は期限切れになる可能性がありますが、攻撃者は毎回認証のために Cookie を提供する可能性があります。この状況を示す図については、図 7-2 を参照してください。

より良い永続ログインソリューションは、一時的なアクセス権を持つデータのみを使用することです。これについては、次のセクションのトピックでもあります。

上記は PHP セキュリティリプレイ攻撃の内容です。その他の関連コンテンツについては、PHP 中国語 Web サイト (www.php.cn) に注目してください。

声明

この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。

PHPの現在のステータス：Web開発動向を見てくださいApr 13, 2025 am 12:20 AM

PHPは、現代のWeb開発、特にコンテンツ管理とeコマースプラットフォームで依然として重要です。 1）PHPには、LaravelやSymfonyなどの豊富なエコシステムと強力なフレームワークサポートがあります。 2）パフォーマンスの最適化は、Opcacheとnginxを通じて達成できます。 3）PHP8.0は、パフォーマンスを改善するためにJITコンパイラを導入します。 4）クラウドネイティブアプリケーションは、DockerおよびKubernetesを介して展開され、柔軟性とスケーラビリティを向上させます。

PHP対その他の言語：比較Apr 13, 2025 am 12:19 AM

PHPは、特に迅速な開発や動的なコンテンツの処理に適していますが、データサイエンスとエンタープライズレベルのアプリケーションには良くありません。 Pythonと比較して、PHPはWeb開発においてより多くの利点がありますが、データサイエンスの分野ではPythonほど良くありません。 Javaと比較して、PHPはエンタープライズレベルのアプリケーションでより悪化しますが、Web開発により柔軟性があります。 JavaScriptと比較して、PHPはバックエンド開発により簡潔ですが、フロントエンド開発のJavaScriptほど良くありません。

PHP対Python：コア機能と機能Apr 13, 2025 am 12:16 AM

PHPとPythonにはそれぞれ独自の利点があり、さまざまなシナリオに適しています。 1.PHPはWeb開発に適しており、組み込みのWebサーバーとRich Functionライブラリを提供します。 2。Pythonは、簡潔な構文と強力な標準ライブラリを備えたデータサイエンスと機械学習に適しています。選択するときは、プロジェクトの要件に基づいて決定する必要があります。

PHP：Web開発の重要な言語Apr 13, 2025 am 12:08 AM

PHPは、サーバー側で広く使用されているスクリプト言語で、特にWeb開発に適しています。 1.PHPは、HTMLを埋め込み、HTTP要求と応答を処理し、さまざまなデータベースをサポートできます。 2.PHPは、ダイナミックWebコンテンツ、プロセスフォームデータ、アクセスデータベースなどを生成するために使用され、強力なコミュニティサポートとオープンソースリソースを備えています。 3。PHPは解釈された言語であり、実行プロセスには語彙分析、文法分析、編集、実行が含まれます。 4.PHPは、ユーザー登録システムなどの高度なアプリケーションについてMySQLと組み合わせることができます。 5。PHPをデバッグするときは、error_reporting（）やvar_dump（）などの関数を使用できます。 6. PHPコードを最適化して、キャッシュメカニズムを使用し、データベースクエリを最適化し、組み込み関数を使用します。 7

PHP：多くのウェブサイトの基礎Apr 13, 2025 am 12:07 AM

PHPが多くのWebサイトよりも優先テクノロジースタックである理由には、その使いやすさ、強力なコミュニティサポート、広範な使用が含まれます。 1）初心者に適した学習と使用が簡単です。 2）巨大な開発者コミュニティと豊富なリソースを持っています。 3）WordPress、Drupal、その他のプラットフォームで広く使用されています。 4）Webサーバーとしっかりと統合して、開発の展開を簡素化します。

誇大広告を超えて：今日のPHPの役割の評価Apr 12, 2025 am 12:17 AM

PHPは、特にWeb開発の分野で、最新のプログラミングで強力で広く使用されているツールのままです。 1）PHPは使いやすく、データベースとシームレスに統合されており、多くの開発者にとって最初の選択肢です。 2）動的コンテンツ生成とオブジェクト指向プログラミングをサポートし、Webサイトを迅速に作成および保守するのに適しています。 3）PHPのパフォーマンスは、データベースクエリをキャッシュおよび最適化することで改善でき、その広範なコミュニティと豊富なエコシステムにより、今日のテクノロジースタックでは依然として重要になります。

PHPの弱い参照は何ですか、そしていつ有用ですか？Apr 12, 2025 am 12:13 AM

PHPでは、弱い参照クラスを通じて弱い参照が実装され、ガベージコレクターがオブジェクトの回収を妨げません。弱い参照は、キャッシュシステムやイベントリスナーなどのシナリオに適しています。オブジェクトの生存を保証することはできず、ごみ収集が遅れる可能性があることに注意する必要があります。

PHPで__invoke Magicメソッドを説明してください。Apr 12, 2025 am 12:07 AM

\ _ \ _ Invokeメソッドを使用すると、オブジェクトを関数のように呼び出すことができます。 1。オブジェクトを呼び出すことができるように\ _ \ _呼び出しメソッドを定義します。 2。$ obj（...）構文を使用すると、PHPは\ _ \ _ Invokeメソッドを実行します。 3。ロギングや計算機、コードの柔軟性の向上、読みやすさなどのシナリオに適しています。

See all articles