Web 攻撃を防ぐ方法 -- PHP 初心者が知っておくべきセキュリティの問題

一般的な Web 攻撃は 2 つのカテゴリに分類されます。1 つは、CGI バッファ オーバーフロー、ディレクトリ トラバーサル脆弱性の悪用、その他の攻撃など、Web サーバーの脆弱性を悪用するものです。もう 1 つは、Web ページ自体のセキュリティの脆弱性を悪用するものです。 、SQL インジェクション、クロスサイト スクリプト攻撃など。

今日、私たちの php 中国語 Web サイトでは、友人に php の関連するセキュリティ問題を理解してもらいます。

まず、オンライン チュートリアル: php 中国語マニュアル セキュリティ を参照してください。

初心者必見のPHPビデオチュートリアル: Dugu Jiijian (4)_PHPビデオチュートリアル

SQLインジェクション攻撃(SQL Inジェクション)

攻撃者は、Web フォームの入力フィールドまたはページ リクエストの文字列に SQL コマンドを挿入し、サーバーをだまして悪意のある SQL コマンドを実行させます。一部のフォームでは、ユーザーが入力した内容が動的 SQL コマンドの構築 (または影響) に直接使用されたり、ストアド プロシージャ の入力パラメーターとして使用されたりすることがあります。このようなフォームは SQL インジェクション攻撃に対して特に脆弱です。

一般的な SQL インジェクション攻撃プロセスには次のようなものがあります。

1. 特定の Web アプリケーションにはログイン ページがあり、ユーザーがアプリケーションにアクセスする権限を持っているかどうかを制御します。

2. ログイン ページに入力された内容は、動的 SQL コマンドの構築に直接使用されるか、ストアド プロシージャのパラメーターとして直接使用されます。例:

$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;

3. 攻撃者はユーザー名とパスワードを入力します。入力ボックスに ' または '1'='1;

4. ユーザーが入力したコンテンツがサーバーに送信された後、サーバーは上記のコードを実行してユーザーにクエリを実行します。攻撃者が入力した内容は非常に特殊なので、最終的な SQL コマンドは次のようになります:

SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'；

5. サーバーは、ユーザーが入力した ID 情報とサーバーに保存されている ID 情報を比較するクエリまたはストアド プロシージャを実行します。

6. SQL コマンドは実際には変更された攻撃スタイルを挿入されているため、ユーザーの ID を真に認証できなくなり、システムは攻撃者を誤って承認します。

アプリケーションがフォームに入力されたコンテンツを本人確認クエリに直接使用することを攻撃者が知っている場合、攻撃者は特別な SQL 文字列を入力してクエリを改ざんし、元の機能を変更し、システムをだましてアクセスを許可させようとします。権限。

システム環境が異なると、攻撃者が引き起こす可能性のある被害も異なります。これは主に、データベースにアクセスするためのアプリケーションのセキュリティ権限によって決まります。ユーザーのアカウントに管理者またはその他の比較的高度な権限がある場合、攻撃者は、データの追加、削除、更新、さらにはテーブルの直接削除など、データベース テーブルに対してさまざまな操作を実行する可能性があります

防止方法:

1. 変数の確認データ型とフォーマット

2. 特殊記号のフィルタリング
3. 変数をバインドし、プリペアドステートメントを使用する

クロスサイトスクリプティング攻撃 (クロスサイトスクリプティング攻撃) スクリプト, コンテンツ、セッション、Cookieなどさまざまなもの。これらの悪意のあるコードは通常、JavaScript、HTML、その他のクライアント側スクリプト言語です。

例:

<?php
echo "欢迎您，".$_GET[&#39;name&#39;];

スクリプトが渡された場合

一般的に使用される攻撃方法は次のとおりです:

Cookieを盗んで機密情報を取得する3f1c4e4b6b16bbbd69b2ee476dc4f83a[code]2cacc6d41bbb37262a98f745aa00fbf0 ，那么脚本也会执行。用这样的URL将会执行JavaScript的alert函数弹出一个对话框：http://localhost/test.php?name=3f1c4e4b6b16bbbd69b2ee476dc4f83aalert(123456)2cacc6d41bbb37262a98f745aa00fbf0

iframe、frame、XMLHttpRequest、または上記のFlashを使用するto (攻撃されているユーザーの ID) は、何らかの管理アクションを実行するか、Weibo への投稿、友達の追加、プライベート メッセージの送信などの一般的な操作を実行します

によって信頼されるように、攻撃されたドメインの特性を利用します。他のドメインを使用し、信頼できるソースの ID リクエストを使用します。これには、不適切な投票アクティビティの実行など、通常は許可されません。

XSS は、一部の小規模な Web サイトを攻撃し、DDoS 攻撃の影響を受ける可能性があります。

防止方法:
htmlspecialchars

関数を使用して、

特殊文字
をHTMLエンコードに変換し、出力変数をフィルタリングします

跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)

攻击者伪造目标用户的HTTP请求，然后此请求发送到有CSRF漏洞的网站，网站执行此请求后，引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法权限，所以目标用户能够在网站内执行特定的HTTP链接，从而达到攻击者的目的。

它与XSS的攻击方法不同，XSS利用漏洞影响站点内的用户，攻击目标是同一站点内的用户者，而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。

例如:

某个购物网站购买商品时，采用shop.com/buy.php?item=watch&num=100
item参数确定要购买什么物品，num参数确定要购买数量，如果攻击者以隐藏的方式发送给目标用户链接那么如果目标用户不小心访问以后，购买的数量就成了100个

防范方法：

      1、检查网页的来源

      2、检查内置的隐藏变量

      3、使用POST，不要使用GET，处理变量也不要直接使用$_REQUEST

Session固定攻击(Session Fixation)

这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session id来访问被攻击的应用程序，一旦用户的会话ID被成功固定，攻击者就可以通过此session id来冒充用户访问应用程序。

例如:

1.攻击者访问网站bank.com，获取他自己的session id，如：SID=123；
2.攻击者给目标用户发送链接，并带上自己的session id，如：bank.com/?SID=123；
3.目标用户点击了bank.com/?SID=123，像往常一样，输入自己的用户名、密码登录到网站；
4.由于服务器的session id不改变，现在攻击者点击bank.com/?SID=123，他就拥有了目标用户的身份，可以为所欲为了。

防范方法：

1.定期更改session id

session_regenerate_id(TRUE);//删除旧的session文件，每次都会产生一个新的session id。默认false，保留旧的session

2.更改session的名称

session的默认名称是PHPSESSID，此变量会保存在cookie中，如果攻击者不抓包分析，就不能猜到这个名称，阻挡部分攻击

session_name("mysessionid");

3.关闭透明化session id

透明化session id指当浏览器中的http请求没有使用cookie来制定session id时，sessioin id使用链接来传递

int_set("session.use_trans_sid", 0);

4.只从cookie检查session id

int_set("session.use_cookies", 1);//表示使用cookies存放session id
int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id

5.使用URL传递隐藏参数

$sid = md5(uniqid(rand()), TRUE));
$_SESSION["sid"] = $sid;//攻击者虽然能获取session数据，但是无法得知$sid的值，只要检查sid的值，就可以确认当前页面是否是web程序自己调用的

Session劫持攻击(Session Hijacking)

会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id，那么攻击者可以利用目标用户的身份来登录网站，获取目标用户的操作权限。

攻击者获取目标用户session id的方法:

1.暴力破解:尝试各种session id，直到破解为止;

2.计算:如果session id使用非随机的方式产生，那么就有可能计算出来;

3.窃取:使用网络截获，xss攻击等方法获得

防范方法：

      1.定期更改session id

      2.更改session的名称

      3.关闭透明化session id

      4.设置HttpOnly。通过设置Cookie的HttpOnly为true，可以防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。

文件上传漏洞攻击(File Upload Attack)

文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。

常用的攻击手段有：

上传Web脚本代码，Web容器解释执行上传的恶意脚本；

上传Flash跨域策略文件crossdomain.xml，修改访问权限(其他策略文件利用方式类似)；

上传病毒、木马文件，诱骗用户和管理员下载执行；

上传包含脚本的图片，某些浏览器的低级版本会执行该脚本，用于钓鱼和欺诈。

一般に、使用されるアップロードされたファイルは、実行可能ファイル (悪意のあるコード) であるか、サーバーの動作に影響を与える可能性のあるファイル (設定ファイル) のいずれかです。

防止方法:

1. ファイルアップロード用のディレクトリを実行不可能に設定します。 2. ファイルの種類を決定し、ホワイトリストを設定します。画像処理の場合、圧縮機能またはサイズ変更機能を使用して、画像に含まれる可能性のある HTML コードを破棄しながら画像を処理できます

3. 乱数を使用してファイル名とファイル パスを書き換えます。もう 1 つは、shell.php.rar.rar やcrossdomain.xml などのファイルは名前変更によって攻撃されないことです。 4. ファイル サーバーのドメイン名を個別に設定します。ブラウザの同一オリジンポリシーにより、crossdomain.xmlのアップロード、JavaScriptを含むXSSエクスプロイトのアップロードなどの一連のクライアント攻撃が無効化されます。

おすすめ関連記事:

1. 安全性の高いPHP Webサイトの作り方、Webサイト作成時に注意すべきセキュリティ問題のまとめ

2.弱い PHP 型を使用する場合は注意してください