Eine kurze Diskussion über Webangriffe im PHP-Sicherheitsschutz

迷茫
Freigeben: 2023-03-05 10:28:02
Original
1822 Leute haben es durchsucht

Häufige Webangriffe werden in zwei Kategorien unterteilt: Die eine besteht darin, die Schwachstellen des Webservers für Angriffe auszunutzen, z. B. einen CGI-Pufferüberlauf, die Ausnutzung von Schwachstellen beim Verzeichnisdurchlauf und andere Angriffe. Die andere besteht darin, die Sicherheitslücken des Webs auszunutzen Seite selbst, wie SQL-Injection, Cross-Site-Scripting-Angriffe usw. Der folgende Artikel stellt hauptsächlich den PHP-Sicherheitsschutz vor Web-Angriffen vor. Freunde, die ihn benötigen, können einen Blick darauf werfen.

SQL-Injection-Angriff (SQL-Injection)

Der Angreifer fügt SQL-Befehle in das Eingabefeld des Webformulars oder die Zeichenfolge der Seitenanforderung ein und verleitet so den Server dazu Ausführen bösartiger SQL-Befehle. In einigen Formularen werden Benutzereingaben direkt zum Erstellen (oder Beeinflussen) dynamischer SQL-Befehle oder als Eingabeparameter für gespeicherte Prozeduren verwendet. Solche Formulare sind besonders anfällig für SQL-Injection-Angriffe.

Übliche SQL-Injection-Angriffsprozesse sind wie folgt:

1. Eine bestimmte Webanwendung verfügt über eine Anmeldeseite, ob der Benutzer die Berechtigung hat, auf die Anwendung zuzugreifen erfordert: Der Benutzer gibt einen Namen und ein Passwort ein.

2. Der auf der Anmeldeseite eingegebene Inhalt wird direkt zum Erstellen dynamischer SQL-Befehle oder direkt als Parameter gespeicherter Prozeduren verwendet 🎜>
Zum Beispiel:

3. Der Angreifer gibt so etwas wie ' oder '1'='1 in das Eingabefeld für Benutzername und Passwort ein; 4. Nachdem der vom Benutzer eingegebene Inhalt an den Server übermittelt wurde, führt der Server den obigen Code aus, um einen SQL-Befehl zur Abfrage des Benutzers zu erstellen. Da der vom Angreifer eingegebene Inhalt jedoch sehr speziell ist, lautet der endgültige SQL-Befehl:
$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;
Nach dem Login kopieren


5. Der Server führt eine Abfrage oder gespeicherte Prozedur aus, um die vom Benutzer eingegebenen Identitätsinformationen mit den auf dem Server gespeicherten Identitätsinformationen zu vergleichen.

6. Da die Der SQL-Befehl wurde tatsächlich durch einen Injektionsangriff geändert und kann nicht mehr verwendet werden. Authentifiziert den Benutzer wirklich, sodass das System den Angreifer fälschlicherweise autorisiert.
SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1';
Nach dem Login kopieren


Wenn ein Angreifer weiß, dass die Anwendung den im Formular eingegebenen Inhalt direkt für Abfragen zur Identitätsprüfung verwenden wird, wird er versuchen, einige spezielle SQL-Zeichenfolgen einzugeben, um die Abfrage zu manipulieren und ihre ursprüngliche Funktionalität zu ändern täuschen Das System gewährt Zugriff.


Unterschiedliche Systemumgebungen bedeuten, dass auch der Schaden, den ein Angreifer anrichten kann, unterschiedlich ist, was hauptsächlich durch die Sicherheitsberechtigungen der Anwendung für den Zugriff auf die Datenbank bestimmt wird. Wenn das Konto des Benutzers über Administrator- oder andere relativ erweiterte Berechtigungen verfügt, kann der Angreifer verschiedene Vorgänge an den Datenbanktabellen ausführen, die er ausführen möchte, darunter das Hinzufügen, Löschen oder Aktualisieren von Daten oder sogar das direkte Löschen der Tabelle


Präventionsmethoden:

1. Variablendatentyp und -format prüfen
2. Spezielle Symbole filtern


3. Binden Variablen und vorkompilierte Anweisungen verwenden


Cross Site Scripting (XSS)

Der Angreifer fügt bösartigen Code in die Webseite ein, und anderer Code wird ausgeführt, wenn der Benutzer die lädt Webseite, und der Angreifer kann verschiedene Inhalte erhalten, einschließlich, aber nicht beschränkt auf höhere Berechtigungen (z. B. das Ausführen einiger Vorgänge), private Webinhalte, Sitzungen, Cookies usw. Bei diesen Schadcodes handelt es sich in der Regel um JavaScript, HTML und andere clientseitige Skriptsprachen.

Zum Beispiel:

Wenn ein Skript <script>[code]</script> übergeben wird, wird das Skript auch ausgeführt. Wenn Sie eine solche URL verwenden, wird die JavaScript-Warnfunktion ausgeführt und ein Dialogfeld angezeigt: http://localhost/test.php?name=<script>alert(123456)</script>


<?php
echo "欢迎您,".$_GET[&#39;name&#39;];
Nach dem Login kopieren
Zu den häufig verwendeten Angriffsmethoden gehören:


Stehlen von Cookies, um vertrauliche Informationen zu erhalten
mithilfe von Iframe, Frame, XMLHttpRequest oder dem oben genannten Flash (Angegriffen) Die Identität des Benutzers führt einige Verwaltungsaktionen aus oder führt einige allgemeine Vorgänge aus, z. B. das Posten auf Weibo, das Hinzufügen von Freunden, das Senden privater Nachrichten usw.


Verwenden einer angreifbaren Domäne, um vertrauenswürdig zu sein durch andere Domänen Funktionen: Anfordern einiger Vorgänge, die normalerweise nicht als vertrauenswürdige Quelle zulässig sind, wie z. B. die Durchführung unangemessener Abstimmungsaktivitäten. Die Auswirkungen von DDoS-Angriffen.


Präventionsmethode: Verwenden Sie die Funktion htmlspecialchars, um Sonderzeichen in HTML-Codierung umzuwandeln und die Ausgabevariablen zu filtern


Cross Site Request Forgeries, CSRF)


Der Angreifer fälscht die HTTP-Anfrage des Zielbenutzers und sendet diese Anfrage dann an eine Website mit einer CSRF-Schwachstelle. Nachdem die Website diese Anfrage ausgeführt hat, löst sie einen Cross-Site-Request-Forgery-Angriff aus. Der Angreifer nutzt eine verdeckte HTTP-Verbindung, um dem Zielbenutzer zu ermöglichen, auf diesen Link zu klicken, ohne es zu bemerken. Da der Benutzer selbst darauf geklickt hat und ein legitimer Benutzer mit legitimen Berechtigungen ist, kann der Zielbenutzer bestimmte HTTP-Befehle innerhalb der Website ausführen, um dies zu erreichen Ziel des Angreifers.

Es unterscheidet sich von den XSS-Angriffsinteressen der Opfer.

Zum Beispiel:

某个购物网站购买商品时,采用http://www.shop.com/buy.php?item=watch&num=100,item参数确定要购买什么物品,num参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接
,那么如果目标用户不小心访问以后,购买的数量就成了100个

防范方法:

1、检查网页的来源

2、检查内置的隐藏变量

3、使用POST,不要使用GET,处理变量也不要直接使用$_REQUEST

Session固定攻击(Session Fixation)

这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session id来访问被攻击的应用程序,一旦用户的会话ID被成功固定,攻击者就可以通过此session id来冒充用户访问应用程序。

例如:

1.攻击者访问网站http:///www.bank.com,获取他自己的session id,如:SID=123;

2.攻击者给目标用户发送链接,并带上自己的session id,如:http:///www.bank.com/?SID=123;

3.目标用户点击了http:///www.bank.com/?SID=123,像往常一样,输入自己的用户名、密码登录到网站;

4.由于服务器的session id不改变,现在攻击者点击http:///www.bank.com/?SID=123,他就拥有了目标用户的身份,可以为所欲为了。

防范方法:

1.定期更改session id

session_regenerate_id(TRUE);//删除旧的session文件,每次都会产生一个新的session id。默认false,保留旧的session
Nach dem Login kopieren

2.更改session的名称

session的默认名称是PHPSESSID,此变量会保存在cookie中,如果攻击者不抓包分析,就不能猜到这个名称,阻挡部分攻击

session_name("mysessionid");
Nach dem Login kopieren

3.关闭透明化session id

透明化session id指当浏览器中的http请求没有使用cookie来制定session id时,sessioin id使用链接来传递

int_set("session.use_trans_sid", 0);
Nach dem Login kopieren

4.只从cookie检查session id

int_set("session.use_cookies", 1);//表示使用cookies存放session id
int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id
Nach dem Login kopieren

5.使用URL传递隐藏参数

$sid = md5(uniqid(rand()), TRUE));
$_SESSION["sid"] = $sid;//攻击者虽然能获取session数据,但是无法得知$sid的值,只要检查sid的值,就可以确认当前页面是否是web程序自己调用的
Nach dem Login kopieren

Session劫持攻击(Session Hijacking)

会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id,那么攻击者可以利用目标用户的身份来登录网站,获取目标用户的操作权限。

攻击者获取目标用户session id的方法:

1.暴力破解:尝试各种session id,直到破解为止;

2.计算:如果session id使用非随机的方式产生,那么就有可能计算出来;

3.窃取:使用网络截获,xss攻击等方法获得

防范方法:

      1.定期更改session id

      2.更改session的名称

      3.关闭透明化session id

      4.设置HttpOnly。通过设置Cookie的HttpOnly为true,可以防止客户端脚本访问这个Cookie,从而有效的防止XSS攻击。

文件上传漏洞攻击(File Upload Attack)

文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。

常用的攻击手段有:

上传Web脚本代码,Web容器解释执行上传的恶意脚本;

上传Flash跨域策略文件crossdomain.xml,修改访问权限(其他策略文件利用方式类似);

上传病毒、木马文件,诱骗用户和管理员下载执行;

上传包含脚本的图片,某些浏览器的低级版本会执行该脚本,用于钓鱼和欺诈。

总的来说,利用的上传文件要么具备可执行能力(恶意代码),要么具备影响服务器行为的能力(配置文件)。

防范方法:

      1.文件上传的目录设置为不可执行;

      2.判断文件类型,设置白名单。对于图片的处理,可以使用压缩函数或者resize函数,在处理图片的同时破坏图片中可能包含的HTML代码;

      3.使用随机数改写文件名和文件路径:一个是上传后无法访问;再来就是像shell.php.rar.rar和crossdomain.xml这种文件,都将因为重命名而无法攻击;

      4.单独设置文件服务器的域名:由于浏览器同源策略的关系,一系列客户端攻击将失效,比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。

以上就是关于PHP安全防护之Web攻击的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。感谢大家支持php中文网!

Verwandte Etiketten:
Quelle:php.cn
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage