客户公司用测评软件测评了我们的项目,发现几个安全漏洞,sql注入和xss攻击的,我看了出现安全漏洞的服务端程序代码,发现基本上都是页面向服务端发送get或者post数据的地方出现的漏洞,后端接收数据用的是CI框架自带的input类,可以过滤用户输入的信息,而且CI的csrf配置项也已经开启
测试工具:
漏洞概况:
有几个头疼的地方:
原先接收
get和post数据的代码是这样写的$this->input->get('section_id),项目中的其他地方都是这样接收的,按理说是已经做了过滤和安全防范的,为什么还会出现这样的漏洞?如果服务端接收
get、post数据这里出了问题,那理应项目中所有采用这种方式的地方全都应该有漏洞才对,为什么只有极个别地方出现了这样的漏洞?客户只看检测数据,我该如何向他们解释和沟通?
求指教~
回复内容:
客户公司用测评软件测评了我们的项目,发现几个安全漏洞,sql注入和xss攻击的,我看了出现安全漏洞的服务端程序代码,发现基本上都是页面向服务端发送get或者post数据的地方出现的漏洞,后端接收数据用的是CI框架自带的input类,可以过滤用户输入的信息,而且CI的csrf配置项也已经开启
测试工具:
漏洞概况:
有几个头疼的地方:
原先接收
get和post数据的代码是这样写的$this->input->get('section_id),项目中的其他地方都是这样接收的,按理说是已经做了过滤和安全防范的,为什么还会出现这样的漏洞?如果服务端接收
get、post数据这里出了问题,那理应项目中所有采用这种方式的地方全都应该有漏洞才对,为什么只有极个别地方出现了这样的漏洞?客户只看检测数据,我该如何向他们解释和沟通?
求指教~
1 这种测试软件的判断不一定准确,一般他只判断 片接不同的语句返还的结果的字符长度是否相同来判断是否存在注入
2 不要太相信什么框架不框架,安全这一块要自己做全局过滤
3 他这里检测的xss 都不是存储型的,危险度没那么高。像这种最多被用作跳板
4 客户要的只是报告上没有漏洞的心里安慰而已。
5 如果你只是想让他扫描不到漏洞。在程序入口写入日志文件,记录所有请求以及参数,来分析这个扫描软件是如何来判断是否存在漏洞的。
6 修改扫描软件的报告上的漏洞,个人经验 这个应该是你传递的参数没有intval
7 关闭mysql 错误提示,防止报错注入
防范
1 在程序加入全局sql关键字过滤
2 开启PHP单引号转义(修改php.ini magic_quotes_gpc)。
3 apache/nginx/iis开启服务日志,mysql慢查询日志,程序入口记录请求日志
4 服务器安装安全狗等web应用安全软件
5 数据库链接方式使用UTF-8 防止gbk双字节注入
6 增强mysql密码的复杂度,禁止mysql外链,更改默认端口号
7 给程序mysql账号做降权,只给普通的增删查改权限。禁止给文件操作权限
XSS跨站攻击 解决方案
1 有文本写入的地方运用htmlspecialchars 转义
2 利用SSL禁止加载引用外部js
3 设置httponly 禁止获取cookie
4 已上是确保没有注入的情况下(如果存在注入,是可以利用16进制绕过htmlspecialchars 达到xss攻击的效果)
5 后台和前台最好使用2套路由规则不一样的程序,后台关键操作(备份数据库)应该设置二级密码,和增加请求参数的复杂度,防止CSRF
PHP 安全
1 上传文件的地方增加后缀过滤,过滤时不要做“逻辑非”判断。
2 禁止上传后缀php,htaccess的文件,不要使用客户端提交过来的数据获取文件名后缀,应该用程序做添加后缀以及随机文件名
3 统一路由,限制越权访问。webroot目录对外防问的只能有一个index.php(入口文件),其它所有目录,禁止外部防问,所有 资源(上传)文件,在nginx 加上防盗链功能
4 PHP降权处理,web目录限制创建文件夹和文本(程序所需要的文件夹除外,一般都会有个缓存目录需要可写权限)
5 对IIS/nginx 文件解析漏洞利用做过滤
6 找回密码使用手机验证码找回,邮箱找回应该用额外的服务器。(防止通过找回密码的功能得到真实ip)。最后发送给用户邮箱的重置密码的链接需要有个复杂的加密参数
7 用户登录系统应该做单一登录功能,如果用户已登录,其他人再次登录是应该给与提示。
8
1 安全常识
1 web应用使用站库分离,更改环境web目录的默认路径
2 当使用集成环境时,安装完成后应该删掉php探针,以及phpmyadmin,phpinfo(探针可以查看你的web路径,phpmyadmin可以暴力破解)
2 用户密码最好采用 密码加盐 之后的md5值
3 用户登陆的地方增加验证码,怎加错误次数限制,防止暴力破解
4 使用cdn加速隐藏真实ip
5 用户登陆的时候,不要传递明文账号密码,防止C端嗅探,通过ARP欺骗获取用户以及管理员明文账号密码
6 禁用php系统命令行数exec,system 等
7 服务器上装安全狗等安全防护软件
8 web目录 禁止存放.rar,zip文件
我对RSAS和BVS了解来说,你这个问题不修复一直会扫描到,而最根本的办法就是解决掉这些问题,自己去发现漏洞,客户担心可能不是别人攻击他,而是内部人利用漏洞做后门程序,有些客户极少的留有解释的余地。
PHP类型提示如何起作用,包括标量类型,返回类型,联合类型和无效类型?Apr 17, 2025 am 12:25 AMPHP类型提示提升代码质量和可读性。1)标量类型提示:自PHP7.0起,允许在函数参数中指定基本数据类型,如int、float等。2)返回类型提示:确保函数返回值类型的一致性。3)联合类型提示:自PHP8.0起,允许在函数参数或返回值中指定多个类型。4)可空类型提示:允许包含null值,处理可能返回空值的函数。
PHP如何处理对象克隆(克隆关键字)和__clone魔法方法?Apr 17, 2025 am 12:24 AMPHP中使用clone关键字创建对象副本,并通过\_\_clone魔法方法定制克隆行为。1.使用clone关键字进行浅拷贝,克隆对象的属性但不克隆对象属性内的对象。2.通过\_\_clone方法可以深拷贝嵌套对象,避免浅拷贝问题。3.注意避免克隆中的循环引用和性能问题,优化克隆操作以提高效率。
PHP与Python:用例和应用程序Apr 17, 2025 am 12:23 AMPHP适用于Web开发和内容管理系统,Python适合数据科学、机器学习和自动化脚本。1.PHP在构建快速、可扩展的网站和应用程序方面表现出色,常用于WordPress等CMS。2.Python在数据科学和机器学习领域表现卓越,拥有丰富的库如NumPy和TensorFlow。
描述不同的HTTP缓存标头(例如,Cache-Control,ETAG,最后修饰)。Apr 17, 2025 am 12:22 AMHTTP缓存头的关键玩家包括Cache-Control、ETag和Last-Modified。1.Cache-Control用于控制缓存策略,示例:Cache-Control:max-age=3600,public。2.ETag通过唯一标识符验证资源变化,示例:ETag:"686897696a7c876b7e"。3.Last-Modified指示资源最后修改时间,示例:Last-Modified:Wed,21Oct201507:28:00GMT。
说明PHP中的安全密码散列(例如,password_hash,password_verify)。为什么不使用MD5或SHA1?Apr 17, 2025 am 12:06 AM在PHP中,应使用password_hash和password_verify函数实现安全的密码哈希处理,不应使用MD5或SHA1。1)password_hash生成包含盐值的哈希,增强安全性。2)password_verify验证密码,通过比较哈希值确保安全。3)MD5和SHA1易受攻击且缺乏盐值,不适合现代密码安全。
PHP:服务器端脚本语言的简介Apr 16, 2025 am 12:18 AMPHP是一种服务器端脚本语言,用于动态网页开发和服务器端应用程序。1.PHP是一种解释型语言,无需编译,适合快速开发。2.PHP代码嵌入HTML中,易于网页开发。3.PHP处理服务器端逻辑,生成HTML输出,支持用户交互和数据处理。4.PHP可与数据库交互,处理表单提交,执行服务器端任务。
PHP和网络:探索其长期影响Apr 16, 2025 am 12:17 AMPHP在过去几十年中塑造了网络,并将继续在Web开发中扮演重要角色。1)PHP起源于1994年,因其易用性和与MySQL的无缝集成成为开发者首选。2)其核心功能包括生成动态内容和与数据库的集成,使得网站能够实时更新和个性化展示。3)PHP的广泛应用和生态系统推动了其长期影响,但也面临版本更新和安全性挑战。4)近年来的性能改进,如PHP7的发布,使其能与现代语言竞争。5)未来,PHP需应对容器化、微服务等新挑战,但其灵活性和活跃社区使其具备适应能力。
为什么要使用PHP?解释的优点和好处Apr 16, 2025 am 12:16 AMPHP的核心优势包括易于学习、强大的web开发支持、丰富的库和框架、高性能和可扩展性、跨平台兼容性以及成本效益高。1)易于学习和使用,适合初学者;2)与web服务器集成好,支持多种数据库;3)拥有如Laravel等强大框架;4)通过优化可实现高性能;5)支持多种操作系统;6)开源,降低开发成本。
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
Atom编辑器mac版下载
最流行的的开源编辑器
PhpStorm Mac 版本
最新(2018.2.1 )专业的PHP集成开发工具
禅工作室 13.0.1
功能强大的PHP集成开发环境
WebStorm Mac版
好用的JavaScript开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
