首頁 >後端開發 >php教程 >嵌入app的h5頁面如何提升安全性

嵌入app的h5頁面如何提升安全性

WBOY
WBOY原創
2016-08-04 09:21:283305瀏覽

萬一被抓包,或更改app傳送的數據,如何提高安全性,防xss攻擊防sql注入之類的。

回覆內容:

萬一被抓包,或更改app傳送的數據,如何提高安全性,防xss攻擊防sql注入之類的。

這和你app 嵌入不嵌入html5 沒有半毛線關係
你使用api接口一樣存愛xss和sql注入
(一) 如果伺服器手攻擊了,如何分析,以及解決方案?
1 先查看windows/linux系統日誌,判斷是否駭客是否透過攻擊已經取得伺服器權限,因為如果伺服器已經getshell這個時候你修復漏洞還是無濟於事的。

Mysql 注入分析解決
1 分析查找漏洞方法
(在程式入口寫入日誌檔案)分析apache/nginx/iis 日誌檔案即所有POST和GET請求以及參數,查看提交參數是否存在mysql關鍵字
(整個檔案搜尋mysql關鍵字union/select/and/from/sleep),如果存在,再尋找該請求位址對應的php檔案以及對應的php程式碼和mysql執行語句。然後尋找整個web目錄資料夾和文字的建立和修改時間,檢查是否存在後門。

2 防範
1 在程式加入全域sql關鍵字過濾
2 開啟PHP單引號轉義(修改php.ini magic_quotes_gpc)。
3 apache/nginx/iis開啟服務日誌,mysql慢查詢日誌,程式入口記錄請求日誌
4 伺服器安裝安全狗等web應用安全軟體
5 資料庫連結方式使用UTF-8 防止gbk雙字節注入
6 增強mysql密碼的複雜度,禁止mysql外鏈,更改預設連接埠號碼
7 給程式mysql帳號做降權,只給普通的增刪查改權限。禁止給文件操作權限

XSS跨站攻擊解決方案
1 有文字寫入的地方運用htmlspecialchars 轉義
2 利用SSL禁止載入引用外部js
3 設定httponly 禁止取得cookie
4 已上是確保沒有註入的情況(如果存在註入,是可以利用16進制繞過htmlspecialchars 達到xss攻擊的效果)
5 後台和前台最好使用2套路由規則不一樣的程序,後台關鍵操作(備份數據庫)應該設置二級密碼,和增加請求參數的複雜度,防止CSRF

PHP 安全性
1 上傳檔案的地方增加後綴過濾,過濾時不要做「邏輯非」判斷。
2 禁止上傳後綴php,htaccess的文件,不要使用客戶端提交過來的資料獲取文件名後綴,應該用程式做添加後綴以及隨機文件名
3 統一路由,限制越權訪問
4 PHP降權處理,web目錄限制創建資料夾和文字(程式所需的資料夾除外,一般都會有一個快取目錄需要可寫權限)
5 對IIS/nginx 檔案解析漏洞利用做過濾
6 找回密碼使用手機驗證碼找回,郵箱找回應該用額外的伺服器。 (防止透過找回密碼的功能得到真實ip)。最後發送給使用者信箱的重設密碼的連結需要有一個複雜的加密參數
7 使用者登入系統應該要做單一登入功能,如果使用者已登錄,其他人再次登入是應該給與提示。
8 webroot目錄對外防問的只能有一個index.php(入口文件),其它所有目錄,禁止外部防問,所有 資源(上傳)文件,在nginx 加上防盜鏈功能

1 安全常識
1 web應用使用站庫分離,更改環境web目錄的預設路徑
2 當使用集成環境時,安裝完成後應該刪掉php探針,以及phpmyadmin,phpinfo(探針可以查看你的web路徑,phpmyadmin可以暴力破解)
2 用戶密碼最好採用密碼加鹽之後的md5值
3 用戶登陸的地方增加驗證碼,怎麼加錯誤次數限制,防止暴力破解
4 使用cdn加速隱藏真實ip
5使用者登陸的時候,不要傳遞明文帳號密碼,防止C端嗅探,透過ARP欺騙取得使用者以及管理員明文帳號密碼
6 停用php系統指令行數exec,system 等
7 伺服器上裝安全狗等安全防護軟體
8 web目錄禁止存放.rar,zip檔

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn