搜尋
首頁php教程php手册PHP的超级难题:SuperGlobal带来的黑客

Imperva公司是新型商业安全解决方案的先锋和领导者,致力于为数据中心的关键应用程序和高价值商业数据提供安全解决方案,其率先推出了专为物理及虚拟数据中心设计的新保护层,作为企业安全的第三大支柱。近日,该公司发布了九月黑客情报行动报告――《PHP SuperGlobals:超级难题》(PHPSuperGlobals: Supersized Trouble),对近期针对PHP应用发起的攻击进行了深入分析,包括涉及PHP “SuperGlobal”参数的攻击,并进一步分析了攻击活动的一般特性和万维网整体完整性的意义。

Imperva公司首席技术官Amichai Shulman表示:“受到攻击的主机可被用作僵尸奴隶来攻击其他服务器,因此针对PHP应用发起的攻击可能会影响到整个网络的安全与健康。这些攻击将产生非常严重的后果,因为PHP平台是最常用的网络应用开发平台,为80%以上的网站提供支持,其中包括Facebook和维基百科。很显然,现在安全社区必须更多地关注这个问题。”

该报告还发现,黑客将高级攻击技术融合于简单脚本的能力日益增加。同时,报告认为,PHP SuperGlobals能够为攻击带来高投资回报,因此成为黑客攻击的主要目标。

PHP SuperGlobal参数在黑客社区日益受到欢迎,因为它们可以将多个安全问题整合于同一个高级网络威胁,从而破坏应用逻辑、损害服务器,造成欺诈交易和数据盗窃。Imperva研究团队注意到,在一个月的时间里,每项应用平均遭受144次包含SuperGlobal参数攻击路径的攻击。此外,研究者还发现攻击活动可持续五个月以上,在请求高峰期,每项应用每分钟将遭受多达90次攻击。

该报告的要点与建议包括:

•如密钥暴露于第三方基础设施,则需要采用“撤退”型安全模式:该报告发现,得到广泛使用的PhpMyAdmin(PMA)工具存在薄弱环节,该工具用于在PHP环境下管理MySQL数据库。因为该工具经常与使用 MySQL数据库的其他应用绑定在一起,因此它的薄弱环节会使服务器受到影响,即使管理员并未使用该工具,服务器也会受到代码执行攻击,导致整个服务器被接管。为解决这个问题,建议采用 “撤退”型安全模式。

•最好采用积极安全模式:积极安全机制为各个资源规定了可使用的参数名称,只有这种模式才能防止攻击者利用外部变量操纵薄弱环节,这种攻击使所有人都能使用相同的内部变量名称发送外部参数,从而覆盖原来的内部变量值。

•黑客的技术日渐高明:Imperva研究者发现,攻击者能够发起复杂攻击,并将其整合为简单易用的工具。不过,在表现出强大攻击能力的同时,PHP攻击法也存在缺陷。一种能够探测并消除某个攻击阶段的应用安全解决方案能使整个攻击无功而返。

•应屏蔽请求中的SuperGlobal参数:这些参数没有任何理由出现在请求之中;因此应被禁止。

陳述
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

EditPlus 中文破解版

EditPlus 中文破解版

體積小,語法高亮,不支援程式碼提示功能

SublimeText3漢化版

SublimeText3漢化版

中文版,非常好用

WebStorm Mac版

WebStorm Mac版

好用的JavaScript開發工具

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

強大的PHP整合開發環境

SublimeText3 Mac版

SublimeText3 Mac版

神級程式碼編輯軟體(SublimeText3)