ホームページ > 記事 > PHPフレームワーク > Laravel が Web サイトの脆弱性を修正する方法
Laravel が Web サイトの脆弱性を修正する方法
- 藏色散人転載
- 2020-06-12 15:11:503823ブラウズ
次のチュートリアル コラムは Laravel によって開発され、Web サイトの脆弱性を修復する Laravel の方法を紹介します。
Laravel フレームワークは現在多くの Web サイトやアプリ運営者によって使用されている開発フレームワークであり、非常に多くの Web サイトが使用されているため、多くの攻撃者が常に攻撃を行っています。システムの脆弱性テストを実施したところ、REC の脆弱性があることがわかりました。主に XSRF の脆弱性でした。脆弱性を詳細に分析し、悪用方法と修正方法を検討しましょう。Record.
この Laravel REC 脆弱性の悪用には条件が必要です。正常に悪用されトリガーされる前に、APP_KEY が漏洩する必要があります。当社の SINE セキュリティ テクノロジは、Web サイトの脆弱性が発生する可能性がある場所は合計 2 つあります。1 つ目は Cookie です。 Post パケットのフィールド、もう 1 つは Web サイトのバックエンドに悪意のあるコードを挿入できる HTTP ヘッダー フィールドです。
構築しましょう Web サイトの脆弱性テストの環境を見てみましょう。Linux を使用しています。 centosシステム、PHP5.5バージョン、データベースはmysql、apache環境で構築しています 使用したLaravelのバージョンは5.6.28です まず、公式サイトからバージョンをダウンロードし、apacheの設定に解凍します。 Web サイトのディレクトリ パス。まず、投稿データで、コード内で 12 を超えるクラスを呼び出し、クラス内のオブジェクトを呼び出し、パラメーターを割り当てることがわかります。Cookie と verifycsrftoken の値では、次のことがわかりました。 app_key は脆弱性の悪用に使用できます。まず、Cookie を使用してそれを再現します:
コードは次のとおりです:
POST / HTTP/1.2 Host: 127.0.0.2:80 Cookie: safe_SESSION=PHPSTORM; 5LqG5L+d6K+B5omA6L6T5Ye655qE57yW56CB5L2N5Y+v6K+75a2X56ym77yMQmFzZTY05Yi25a6a5LqG5LiA5Liq57yW56CB6KGo77yM5Lul5L6/6L+b6KGM57uf5LiA6L2s5o2i44CC57yW56CB6KGo55qE5aSn5bCP5Li6Ml42PTY077yM6L+Z5Lmf5pivQmFzZTY05ZCN56ew55qE55Sx5p2l44CCDQoNCkJhc2U2NOe8lueggeihqA==; Content-Type: application/x-www-form- Connection: open Content-Length: 1
上記のコードはCookie 列。暗号化された値が必要です。偽造された攻撃コードは Web サイトに POST リクエストを送信します。最初に APP_key を復号化し、それに値を割り当てます。復号化が成功すると、Cookie 内の値を検証し、逆シリアル化します。脆弱性が発生すると、RCE 脆弱性がトリガーされます。
http ヘッダー メソッドを使用して脆弱性をテストしましょう。まず、次のような Cookie に似たコードを構築します。
以上がLaravel が Web サイトの脆弱性を修正する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。