Imperva公司是新型商业安全解决方案的先锋和领导者,致力于为数据中心的关键应用程序和高价值商业数据提供安全解决方案,其率先推出了专为物理及虚拟数据中心设计的新保护层,作为企业安全的第三大支柱。近日,该公司发布了九月黑客情报行动报告――《PHP SuperGlobals:超级难题》(PHPSuperGlobals: Supersized Trouble),对近期针对PHP应用发起的攻击进行了深入分析,包括涉及PHP “SuperGlobal”参数的攻击,并进一步分析了攻击活动的一般特性和万维网整体完整性的意义。
Imperva公司首席技术官Amichai Shulman表示:“受到攻击的主机可被用作僵尸奴隶来攻击其他服务器,因此针对PHP应用发起的攻击可能会影响到整个网络的安全与健康。这些攻击将产生非常严重的后果,因为PHP平台是最常用的网络应用开发平台,为80%以上的网站提供支持,其中包括Facebook和维基百科。很显然,现在安全社区必须更多地关注这个问题。”
该报告还发现,黑客将高级攻击技术融合于简单脚本的能力日益增加。同时,报告认为,PHP SuperGlobals能够为攻击带来高投资回报,因此成为黑客攻击的主要目标。
PHP SuperGlobal参数在黑客社区日益受到欢迎,因为它们可以将多个安全问题整合于同一个高级网络威胁,从而破坏应用逻辑、损害服务器,造成欺诈交易和数据盗窃。Imperva研究团队注意到,在一个月的时间里,每项应用平均遭受144次包含SuperGlobal参数攻击路径的攻击。此外,研究者还发现攻击活动可持续五个月以上,在请求高峰期,每项应用每分钟将遭受多达90次攻击。
该报告的要点与建议包括:
•如密钥暴露于第三方基础设施,则需要采用“撤退”型安全模式:该报告发现,得到广泛使用的PhpMyAdmin(PMA)工具存在薄弱环节,该工具用于在PHP环境下管理MySQL数据库。因为该工具经常与使用 MySQL数据库的其他应用绑定在一起,因此它的薄弱环节会使服务器受到影响,即使管理员并未使用该工具,服务器也会受到代码执行攻击,导致整个服务器被接管。为解决这个问题,建议采用 “撤退”型安全模式。
•最好采用积极安全模式:积极安全机制为各个资源规定了可使用的参数名称,只有这种模式才能防止攻击者利用外部变量操纵薄弱环节,这种攻击使所有人都能使用相同的内部变量名称发送外部参数,从而覆盖原来的内部变量值。
•黑客的技术日渐高明:Imperva研究者发现,攻击者能够发起复杂攻击,并将其整合为简单易用的工具。不过,在表现出强大攻击能力的同时,PHP攻击法也存在缺陷。一种能够探测并消除某个攻击阶段的应用安全解决方案能使整个攻击无功而返。
•应屏蔽请求中的SuperGlobal参数:这些参数没有任何理由出现在请求之中;因此应被禁止。

php把负数转为正整数的方法:1、使用abs()函数将负数转为正数,使用intval()函数对正数取整,转为正整数,语法“intval(abs($number))”;2、利用“~”位运算符将负数取反加一,语法“~$number + 1”。

实现方法:1、使用“sleep(延迟秒数)”语句,可延迟执行函数若干秒;2、使用“time_nanosleep(延迟秒数,延迟纳秒数)”语句,可延迟执行函数若干秒和纳秒;3、使用“time_sleep_until(time()+7)”语句。

php字符串有下标。在PHP中,下标不仅可以应用于数组和对象,还可应用于字符串,利用字符串的下标和中括号“[]”可以访问指定索引位置的字符,并对该字符进行读写,语法“字符串名[下标值]”;字符串的下标值(索引值)只能是整数类型,起始值为0。

php除以100保留两位小数的方法:1、利用“/”运算符进行除法运算,语法“数值 / 100”;2、使用“number_format(除法结果, 2)”或“sprintf("%.2f",除法结果)”语句进行四舍五入的处理值,并保留两位小数。

在php中,可以使用substr()函数来读取字符串后几个字符,只需要将该函数的第二个参数设置为负值,第三个参数省略即可;语法为“substr(字符串,-n)”,表示读取从字符串结尾处向前数第n个字符开始,直到字符串结尾的全部字符。

判断方法:1、使用“strtotime("年-月-日")”语句将给定的年月日转换为时间戳格式;2、用“date("z",时间戳)+1”语句计算指定时间戳是一年的第几天。date()返回的天数是从0开始计算的,因此真实天数需要在此基础上加1。

方法:1、用“str_replace(" ","其他字符",$str)”语句,可将nbsp符替换为其他字符;2、用“preg_replace("/(\s|\ \;||\xc2\xa0)/","其他字符",$str)”语句。

查找方法:1、用strpos(),语法“strpos("字符串值","查找子串")+1”;2、用stripos(),语法“strpos("字符串值","查找子串")+1”。因为字符串是从0开始计数的,因此两个函数获取的位置需要进行加1处理。


熱AI工具

Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool
免費脫衣圖片

Clothoff.io
AI脫衣器

AI Hentai Generator
免費產生 AI 無盡。

熱門文章

熱工具

EditPlus 中文破解版
體積小,語法高亮,不支援程式碼提示功能

SecLists
SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。

禪工作室 13.0.1
強大的PHP整合開發環境

Atom編輯器mac版下載
最受歡迎的的開源編輯器

SublimeText3漢化版
中文版,非常好用