웹 공격을 예방하는 방법 - PHP 초보자가 알아야 할 보안 문제
- 伊谢尔伦원래의
- 2017-07-06 10:01:081869검색
일반적인 웹 공격은 두 가지 범주로 나뉩니다. 하나는 CGI 버퍼 오버플로, 디렉터리 탐색 취약점 악용 및 기타 공격과 같이 웹 서버의 취약점을 공격하는 것입니다. 다른 하나는 웹 페이지 자체의 보안 취약점을 악용하는 것입니다. , SQL 주입, 크로스 사이트 스크립트 공격 등
오늘 우리 PHP 중국어 웹사이트에서는 PHP와 관련된 보안 문제를 이해하기 위해 친구들을 데려갈 것입니다.
먼저 온라인 튜토리얼인 php 중국어 수동 보안을 참조하세요.
초보자를 위한 필수 PHP 동영상 튜토리얼: Dugu Jiujian (4)_PHP 동영상 튜토리얼
SQL 주입 공격(SQL 주입)
공격자는 웹 양식의 입력 필드나 페이지 요청의 문자열에 SQL 명령을 삽입하여 서버를 속여 악성 SQL 명령을 실행하게 합니다. 일부 형식에서는 사용자가 입력한 내용이 동적 SQL 명령을 구성(또는 영향을 미치거나)하는 데 직접 사용되거나 저장 프로시저의 입력 매개 변수로 사용됩니다. 이러한 형식은 특히 SQL 주입 공격에 취약합니다.
일반적인 SQL 주입 공격 프로세스는 다음과 같습니다.
1. 특정 웹 애플리케이션에는 로그인 페이지가 있습니다. 이 로그인 페이지는 사용자가 애플리케이션에 액세스할 수 있는 권한이 있는지 여부를 제어합니다.
2. 로그인 페이지에 입력된 내용은 동적 SQL 명령을 구성하는 데 직접 사용되거나 저장 프로시저의 매개변수로 직접 사용됩니다.
예:
$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;
3. 입력 상자에서 ' 또는 '1'='1;
4. 사용자가 입력한 내용이 서버에 제출된 후 서버는 위 코드를 실행하여 사용자에게 쿼리를 수행합니다. 공격자가 입력한 내용은 매우 특별하므로 최종 SQL 명령은 다음과 같습니다.
SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1';
5. 서버는 사용자가 입력한 신원 정보와 서버에 저장된 신원 정보를 비교하기 위해 쿼리 또는 저장 프로시저를 실행합니다.
6. 실제로 SQL 명령이 수정된 공격 스타일로 주입되었기 때문에 더 이상 사용자의 신원을 실제로 인증할 수 없으므로 시스템이 공격자를 잘못 인증하게 됩니다.
공격자가 응용 프로그램이 신원 확인 쿼리를 위해 양식에 직접 입력된 콘텐츠를 사용할 것임을 알고 있는 경우, 그는 일부 특수 SQL 문자열을 입력하여 쿼리를 변조하여 원래 기능을 변경하고 시스템이 액세스 권한을 부여하도록 속이려고 시도합니다. 권한.
시스템 환경도 다르고, 공격자가 초래할 수 있는 피해도 다릅니다. 이는 주로 데이터베이스에 접근하는 애플리케이션의 보안 권한에 따라 결정됩니다. 사용자 계정에 관리자 또는 기타 더 높은 수준의 권한이 있는 경우 공격자는 데이터 추가, 삭제 또는 업데이트를 포함하여 데이터베이스 테이블에 대해 다양한 작업을 수행할 수 있으며 심지어 테이블 직접 삭제도 가능합니다
예방 방법:
1. 변수
3. 변수 바인딩 및 준비된 명령문 사용
Cross Site Scripting Attack (Cross Site Scripting Attack) Scripting, 각종 콘텐츠, 세션 및 쿠키로. 이러한 악성 코드는 일반적으로 JavaScript, HTML 및 기타 클라이언트 측 스크립팅 언어입니다. 예: <?php
echo "欢迎您,".$_GET['name'];
스크립트가 전달된 경우
3f1c4e4b6b16bbbd69b2ee476dc4f83a[code]2cacc6d41bbb37262a98f745aa00fbf0 ,那么脚本也会执行。用这样的URL将会执行JavaScript的alert函数弹出一个对话框:http://localhost/test.php?name=3f1c4e4b6b16bbbd69b2ee476dc4f83aalert(123456)2cacc6d41bbb37262a98f745aa00fbf0
iframe, 프레임, XMLHttpRequest 또는 위에서 언급한 Flash를 사용합니다. (공격을 받는 사용자의 신원)은 일부 관리 작업을 수행하거나 Weibo에 게시, 친구 추가, 비공개 메시지 보내기 등과 같은 일부 일반적인 작업을 수행합니다.
공격받은 도메인의 특성을 사용하여 신뢰할 수 있습니다. 신뢰할 수 있는 소스의 ID를 사용하기 위해 다른 도메인에서 부적절한 투표 활동을 수행하는 등 일반적으로 허용되지 않는 일부 작업을 요청합니다.
트래픽이 매우 높은 일부 페이지의 XSS는 일부 소규모 웹사이트를 공격하여 DDoS 공격의 효과를 얻을 수 있습니다.
예방 방법:
htmlspecialchars
특수 문자
를 HTML 인코딩으로 변환하고 출력 변수를 필터링
跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。
它与XSS的攻击方法不同,XSS利用漏洞影响站点内的用户,攻击目标是同一站点内的用户者,而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。
例如:
某个购物网站购买商品时,采用shop.com/buy.php?item=watch&num=100
item参数确定要购买什么物品,num参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接那么如果目标用户不小心访问以后,购买的数量就成了100个
防范方法:
1、检查网页的来源
2、检查内置的隐藏变量
3、使用POST,不要使用GET,处理变量也不要直接使用$_REQUEST
Session固定攻击(Session Fixation)
这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session id来访问被攻击的应用程序,一旦用户的会话ID被成功固定,攻击者就可以通过此session id来冒充用户访问应用程序。
例如:
1.攻击者访问网站bank.com,获取他自己的session id,如:SID=123;
2.攻击者给目标用户发送链接,并带上自己的session id,如:bank.com/?SID=123;
3.目标用户点击了bank.com/?SID=123,像往常一样,输入自己的用户名、密码登录到网站;
4.由于服务器的session id不改变,现在攻击者点击bank.com/?SID=123,他就拥有了目标用户的身份,可以为所欲为了。
防范方法:
1.定期更改session id
session_regenerate_id(TRUE);//删除旧的session文件,每次都会产生一个新的session id。默认false,保留旧的session
2.更改session的名称
session的默认名称是PHPSESSID,此变量会保存在cookie中,如果攻击者不抓包分析,就不能猜到这个名称,阻挡部分攻击
session_name("mysessionid");3.关闭透明化session id
透明化session id指当浏览器中的http请求没有使用cookie来制定session id时,sessioin id使用链接来传递
int_set("session.use_trans_sid", 0);4.只从cookie检查session id
int_set("session.use_cookies", 1);//表示使用cookies存放session id
int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id5.使用URL传递隐藏参数
$sid = md5(uniqid(rand()), TRUE)); $_SESSION["sid"] = $sid;//攻击者虽然能获取session数据,但是无法得知$sid的值,只要检查sid的值,就可以确认当前页面是否是web程序自己调用的
Session劫持攻击(Session Hijacking)
会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id,那么攻击者可以利用目标用户的身份来登录网站,获取目标用户的操作权限。
攻击者获取目标用户session id的方法:
1.暴力破解:尝试各种session id,直到破解为止;
2.计算:如果session id使用非随机的方式产生,那么就有可能计算出来;
3.窃取:使用网络截获,xss攻击等方法获得
防范方法:
1.定期更改session id
2.更改session的名称
3.关闭透明化session id
4.设置HttpOnly。通过设置Cookie的HttpOnly为true,可以防止客户端脚本访问这个Cookie,从而有效的防止XSS攻击。
文件上传漏洞攻击(File Upload Attack)
文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。
常用的攻击手段有:
上传Web脚本代码,Web容器解释执行上传的恶意脚本;
上传Flash跨域策略文件crossdomain.xml,修改访问权限(其他策略文件利用方式类似);
上传病毒、木马文件,诱骗用户和管理员下载执行;
上传包含脚本的图片,某些浏览器的低级版本会执行该脚本,用于钓鱼和欺诈。
일반적으로 사용되는 업로드 파일은 실행 파일(악성 코드)이거나 서버 동작에 영향을 줄 수 있는 기능(구성 파일)을 가지고 있습니다.
예방 방법:
1. 파일 업로드 디렉터리를 실행 불가능으로 설정합니다. 2. 파일 형식을 결정하고 화이트리스트를 설정합니다. 이미지 처리의 경우 압축 기능이나 크기 조정 기능을 사용하여 이미지에 포함될 수 있는 HTML 코드를 삭제하면서 이미지를 처리할 수 있습니다.
3. 임의의 숫자를 사용하여 파일 이름과 파일 경로를 다시 작성합니다. 업로드 후에는 액세스할 수 없습니다. 다른 하나는 shell.php.rar.rar 및 crossdomain.xml과 같은 파일은 이름 변경으로 인해 공격을 받지 않습니다.
4. 파일 서버의 도메인 이름을 별도로 설정합니다. 브라우저의 동일 출처 정책, 일련의 클라이언트 공격은 효과적이지 않습니다(예: crossdomain.xml 업로드, Javascript가 포함된 XSS 익스플로잇 업로드 등).
보안이 뛰어난 PHP 웹사이트를 만드는 방법, 웹사이트를 만들 때 주의해야 할 보안 문제 요약