Im Vergleich zu mehreren anderen Sprachen bietet PHP größere Vorteile beim Erstellen von Websites. Selbst Anfänger können problemlos eine Website erstellen. Dieser Vorteil kann aber auch leicht negative Auswirkungen haben, da viele PHP-Tutorials keine Sicherheitskenntnisse voraussetzen.
Dieser Beitrag ist in mehrere Teile unterteilt, die jeweils unterschiedliche Sicherheitsbedrohungen und Gegenmaßnahmen behandeln. Dies bedeutet jedoch nicht, dass Sie nach der Befolgung dieser Punkte definitiv Probleme mit Ihrer Website vermeiden werden. Wenn Sie die Sicherheit Ihrer Website verbessern möchten, sollten Sie weiterhin lernen, wie Sie die Sicherheit Ihrer Website verbessern können, indem Sie Bücher oder Artikel lesen.
Zu Demonstrationszwecken ist der Code möglicherweise nicht perfekt. Im täglichen Entwicklungsprozess wird viel Code in Frameworks und verschiedenen Bibliotheken eingebunden. Als Backend-Entwickler müssen Sie nicht nur grundlegende CURD-Kenntnisse beherrschen, sondern auch wissen, wie Sie Ihre Daten schützen.
1. SQL-Injection
Ich wette, dass Sie das auf jeden Fall sehen werden. SQL-Injection ist eine der größten Bedrohungen für Ihre Website. Wenn Ihre Datenbank durch die SQL-Injection einer anderen Person angegriffen wird, kann eine andere Person Ihre Datenbank löschen, was schwerwiegendere Folgen haben kann.
Um dynamische Daten aus der Datenbank zu erhalten, muss die Website SQL-Anweisungen ausführen, zum Beispiel:
<?php $username = $_GET['username']; $query = "SELECT * FROM users WHERE username = '$username'";
Der Angreifer kontrolliert die über GET und POST gesendeten Abfragen (oder einige andere Abfragen wie UA). . Normalerweise lautet die SQL-Anweisung, die Sie nach einem Benutzer namens „peter“ abfragen möchten, wie folgt:
SELECT * FROM users WHERE username = 'peter'
Der Angreifer sendet jedoch einen bestimmten Benutzernamenparameter, zum Beispiel: 'OR '1'='1
Dadurch sieht die SQL-Anweisung so aus:
SELECT * FROM users WHERE username = 'peter' OR '1' = '1'
Auf diese Weise kann er die Daten Ihrer gesamten Benutzertabelle exportieren, ohne dass ein Passwort erforderlich ist.
Wie können wir also verhindern, dass solche Unfälle passieren? Es gibt zwei gängige Lösungen. Escapen Sie vom Benutzer eingegebene Daten oder verwenden Sie gekapselte Anweisungen. Die Escape-Methode besteht darin, eine Funktion zu kapseln, um die vom Benutzer übermittelten Daten zu filtern und schädliche Tags zu entfernen. Ich empfehle diese Methode jedoch nicht, da man leicht vergisst, sie überall durchzuführen.
Als nächstes werde ich vorstellen, wie man PDO zum Ausführen gekapselter Anweisungen verwendet (dasselbe gilt für mysqi):
$username = $_GET['username']; $query = $pdo->prepare('SELECT * FROM users WHERE username = :username'); $query->execute(['username' => $username]); $data = $query->fetch();
Jedem Teil dynamischer Daten wird Folgendes vorangestellt:. Übergeben Sie dann alle Argumente als Array an die Ausführungsfunktion und es sieht so aus, als hätte PDO die fehlerhaften Daten für Sie maskiert.
Fast alle Datenbanktreiber unterstützen gekapselte Anweisungen, es gibt keinen Grund, sie nicht zu verwenden! Machen Sie es sich zur Gewohnheit, sie zu verwenden, und Sie werden sie später nicht vergessen.
Sie können auch einen Artikel in phpdelusions über den Umgang mit Sicherheitsproblemen beim dynamischen Erstellen von SQL-Abfragen lesen. Link:
https://phpdelusions.net/pdo/sql_injection_example
2. XSS
XSS wird auch genannt CSS (Cross Site Script), Cross-Site-Scripting-Angriff. Es bezieht sich auf einen böswilligen Angreifer, der böswilligen HTML-Code in eine Webseite einfügt. Wenn ein Benutzer die Seite durchsucht, wird der im Web eingebettete HTML-Code ausgeführt, wodurch der besondere Zweck eines böswilligen Angriffs auf den Benutzer erreicht wird.
Im Folgenden wird eine Suchseite als Beispiel genommen:
<body> <?php $searchQuery = $_GET['q']; /* some search magic here */ ?> <h1>You searched for: <?php echo $searchQuery; ?></h1> <p>We found: Absolutely nothing because this is a demo</p> </body>
Da wir den Inhalt des Benutzers direkt und ohne Filterung ausdrucken, können illegale Benutzer URLs zusammenfügen:
search.php?q=%3Cscript%3Ealert(1)%3B%3C%2Fscript%3E
PHP The Der gerenderte Inhalt ist wie folgt. Sie können sehen, dass der Javascript-Code direkt ausgeführt wird:
<body> <h1>You searched for: <script>alert(1);</script></h1> <p>We found: Absolutely nothing because this is a demo</p> </body>
F: Was ist das große Problem an der Ausführung von JS-Code?
Javascript kann:
● Die Cookies im Browser Ihres Benutzers stehlen
● Erhalten Sie Ihr Site-Login über die Passwort-Speicherfunktion des Browsers
● Vertrauliche Informationen der Benutzer stehlen
● Alles, was Ihre Benutzer auf der Website tun können, kann mit JS-Berechtigungsausführungsberechtigungen erfolgen, das heißt, Benutzer A kann sich als jeder Benutzer ausgeben
● Betten Sie bösartigen Code in Ihre Webseite ein.
...
F: Wie lässt sich dieses Problem verhindern?
Die gute Nachricht ist, dass fortgeschrittenere Browser jetzt über einige grundlegende XSS-Schutzfunktionen verfügen, aber verlassen Sie sich bitte nicht darauf.
Der richtige Ansatz besteht darin, keiner Eingabe des Benutzers zu vertrauen und alle Sonderzeichen in der Eingabe herauszufiltern. Dadurch werden die meisten XSS-Angriffe eliminiert:
<?php $searchQuery = htmlentities($searchQuery, ENT_QUOTES);
Oder Sie können die Template-Engine Twig verwenden. Allgemeine Template-Engines fügen der Ausgabe standardmäßig die Verhinderung von HTML-Entitäten hinzu.
Wenn Sie den Eingabeinhalt des Benutzers behalten, achten Sie bei der Ausgabe besonders darauf. Im folgenden Beispiel erlauben wir Benutzern, ihre eigenen Blog-Links einzugeben:
<body> <a href="<?php echo $homepageUrl; ?>">Visit Users homepage</a> </body>
Der obige Code kann der sein Erstens gibt es überhaupt kein Problem, aber angenommen, der Benutzer gibt den folgenden Inhalt ein:
#" onclick="alert(1)
wird wie folgt gerendert:
Visit Users homepage
Vertrauen Sie niemals den vom Benutzer eingegebenen Daten, oder, Gehen Sie immer davon aus, dass der Inhalt des Benutzers anstößig ist, die Einstellung korrekt ist und alle Benutzereingaben und -ausgaben sorgfältig behandelt werden.
Eine weitere Möglichkeit, XSS-Angriffe zu kontrollieren, besteht darin, ein CSP-Meta-Tag oder Header-Informationen bereitzustellen. Weitere Informationen finden Sie unter:
https://phpdelusions.net/pdo/sql_injection_example
另外设置 Cookie 时,如果无需 JS 读取的话,请必须设置为 "HTTP ONLY"。这个设置可以令 JavaScript 无法读取 PHP 端种的 Cookie。
3. XSRF/CSRF
CSRF 是跨站请求伪造的缩写,它是攻击者通过一些技术手段欺骗用户去访问曾经认证过的网站并运行一些操作。
虽然此处展示的例子是 GET 请求,但只是相较于 POST 更容易理解,并非防护手段,两者都不是私密的 Cookies 或者多步表单。
假如你有一个允许用户删除账户的页面,如下所示:
<?php //delete-account.php $confirm = $_GET['confirm']; if($confirm === 'yes') { //goodbye }
攻击者可以在他的站点上构建一个触发这个 URL 的表单(同样适用于 POST 的表单),或者将 URL 加载为图片诱惑用户点击:
<img src="https://example.com/delete-account.php?confirm=yes" / alt="10 häufige PHP-Sicherheitsprobleme (Erklärungen mit Beispielen)" >
用户一旦触发,就会执行删除账户的指令,眨眼你的账户就消失了。
防御这样的攻击比防御 XSS 与 SQL 注入更复杂一些。
最常用的防御方法是生成一个 CSRF 令牌加密安全字符串,一般称其为 Token,并将 Token 存储于 Cookie 或者 Session 中。
每次你在网页构造表单时,将 Token 令牌放在表单中的隐藏字段,表单请求服务器以后会根据用户的 Cookie 或者 Session 里的 Token 令牌比对,校验成功才给予通过。
由于攻击者无法知道 Token 令牌的内容(每个表单的 Token 令牌都是随机的),因此无法冒充用户。
<?php /* 你嵌入表单的页面 */ ?> <form action="/delete-account.php" method="post"> <input type="hidden" name="csrf" value="<?php echo $_SESSION['csrf']; ?>"> <input type="hidden" name="confirm" value="yes" /> <input type="submit" value="Delete my account" /> </form> ## <?php //delete-account.php $confirm = $_POST['confirm']; $csrf = $_POST['csrf']; $knownGoodToken = $_SESSION['csrf']; if($csrf !== $knownGoodToken) { die('Invalid request'); } if($confirm === 'yes') { //goodbye }
请注意,这是个非常简单的示例,你可以加入更多的代码。如果你使用的是像 Symfony 这样的 PHP 框架,那么自带了 CSRF 令牌的功能。
你还可以查看关于 OWASP 更详细的问题和更多防御机制的文章:
https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.md
4. LFI
LFI (本地文件包含) 是一个用户未经验证从磁盘读取文件的漏洞。
我经常遇到编程不规范的路由代码示例,它们不验证过滤用户的输入。我们用以下文件为例,将它要渲染的模板文件用 GET 请求加载。
<body> <?php $page = $_GET['page']; if(!$page) { $page = 'main.php'; } include($page); ?> </body>
由于 Include 可以加载任何文件,不仅仅是 PHP,攻击者可以将系统上的任何文件作为包含目标传递。
index.php?page=../../etc/passwd
这将导致 /etc/passwd 文件被读取并展示在浏览器上。
要防御此类攻击,你必须仔细考虑允许用户输入的类型,并删除可能有害的字符,如输入字符中的 “.” “/” “\”。
如果你真的想使用像这样的路由系统(我不建议以任何方式),你可以自动附加 PHP 扩展,删除任何非 [a-zA-Z0-9-_] 的字符,并指定从专用的模板文件夹中加载,以免被包含任何非模板文件。
我在不同的开发文档中,多次看到造成此类漏洞的 PHP 代码。从一开始就要有清晰的设计思路,允许所需要包含的文件类型,并删除掉多余的内容。你还可以构造要读取文件的绝对路径,并验证文件是否存在来作为保护,而不是任何位置都给予读取。
5. 不充分的密码哈希
大部分的 Web 应用需要保存用户的认证信息。如果密码哈希做的足够好,在你的网站被攻破时,即可保护用户的密码不被非法读取。
首先,最不应该做的事情,就是把用户密码明文储存起来。大部分的用户会在多个网站上使用同一个密码,这是不可改变的事实。当你的网站被攻破,意味着用户的其他网站的账号也被攻破了。
其次,你不应该使用简单的哈希算法,事实上所有没有专门为密码哈希优化的算法都不应使用。哈希算法如 MD5 或者 SHA 设计初衷就是执行起来非常快。这不是你需要的,密码哈希的终极目标就是让黑客花费无穷尽的时间和精力都无法破解出来密码。
另外一个比较重要的点是你应该为密码哈希加盐(Salt),加盐处理避免了两个同样的密码会产生同样哈希的问题。
以下使用 MD5 来做例子,所以请千万不要使用 MD5 来哈希你的密码, MD5 是不安全的。
假如我们的用户 user1 和 user315 都有相同的密码 ilovecats123,这个密码虽然看起来是强密码,有字母有数字,但是在数据库里,两个用户的密码哈希数据将会是相同的:5e2b4d823db9d044ecd5e084b6d33ea5 。
如果一个如果黑客拿下了你的网站,获取到了这些哈希数据,他将不需要去暴力破解用户 user315 的密码。我们要尽量让他花大精力来破解你的密码,所以我们对数据进行加盐处理:
<?php //warning: !!这是一个很不安全的密码哈希例子,请不要使用!! $password = 'cat123'; $salt = random_bytes(20); $hash = md5($password . $salt);
最后在保存你的唯一密码哈希数据时,请不要忘记连 $salt 也已经保存,否则你将无法验证用户。
在当下,最好的密码哈希选项是 bcrypt,这是专门为哈希密码而设计的哈希算法,同时这套哈希算法里还允许你配置一些参数来加大破解的难度。
新版的 PHP 中也自带了安全的密码哈希函数 password_hash
,此函数已经包含了加盐处理。对应的密码验证函数为 password_verify
用来检测密码是否正确。password_verify
还可有效防止 时序攻击.
以下是使用的例子:
<?php //user signup $password = $_POST['password']; $hashedPassword = password_hash($password, PASSWORD_DEFAULT); //login $password = $_POST['password']; $hash = '1234'; //load this value from your db if(password_verify($password, $hash)) { echo 'Password is valid!'; } else { echo 'Invalid password.'; }
需要澄清的一点是:密码哈希并不是密码加密。哈希(Hash)是将目标文本转换成具有相同长度的、不可逆的杂凑字符串(或叫做消息摘要),而加密(Encrypt)是将目标文本转换成具有不同长度的、可逆的密文。显然他们之间最大的区别是可逆性,在储存密码时,我们要的就是哈希这种不可逆的属性。
6. 中间人攻击
MITM (中间人) 攻击不是针对服务器直接攻击,而是针对用户进行,攻击者作为中间人欺骗服务器他是用户,欺骗用户他是服务器,从而来拦截用户与网站的流量,并从中注入恶意内容或者读取私密信息,通常发生在公共 WiFi 网络中,也有可能发生在其他流量通过的地方,例如 ISP 运营商。
对此的唯一防御是使用 HTTPS,使用 HTTPS 可以将你的连接加密,并且无法读取或者篡改流量。你可以从 Let's Encrypt 获取免费的 SSL 证书,或从其他供应商处购买,这里不详细介绍如何正确配置 WEB 服务器,因为这与应用程序安全性无关,且在很大程度上取决于你的设置。
你还可以采取一些措施使 HTTPS 更安全,在 WEB 服务器配置加上 Strict-Transport-Security 标示头,此头部信息告诉浏览器,你的网站始终通过 HTTPS 访问,如果未通过 HTTPS 将返回错误报告提示浏览器不应显示该页面。
然而,这里有个明显的问题,如果浏览器之前从未访问过你的网站,则无法知道你使用此标示头,这时候就需要用到 Hstspreload。
可以在此注册你的网站:
https://hstspreload.org/
你在此处提交的所有网站都将被标记为仅 HTTPS,并硬编码到 Google Chrome、FireFox、Opera、Safari、IE11 和 Edge 的源代码中。
你还可以在 DNS 配置中添加 Certification Authority Authorization (CAA) record
,可以仅允许一个证书颁发机构(例如: Let's encrypt)发布你的域名证书,这进一步提高了用户的安全性。
7. 命令注入
这可能是服务器遇到的最严重的攻击,命令注入的目标是欺骗服务器执行任意 Shell 命令
你如果使用 shell_exec 或是 exec 函数。让我们做一个小例子,允许用户简单的从服务器 Ping 不同的主机。
<?php $targetIp = $_GET['ip']; $output = shell_exec("ping -c 5 $targetIp");
输出将包括对目标主机 Ping 5 次。除非采用 sh 命令执行 Shell 脚本,否则攻击者可以执行想要的任何操作。
ping.php?ip=8.8.8.8;ls -l /etc
Shell 将执行 Ping 和由攻击者拼接的第二个命令,这显然是非常危险的。
感谢 PHP 提供了一个函数来转义 Shell 参数。
escapeshellarg 转义用户的输入并将其封装成单引号。
<?php $targetIp = escapeshellarg($_GET['ip']); $output = shell_exec("ping -c 5 $targetIp");
现在你的命令应该是相当安全的,就个人而言,我仍然避免使用 PHP 调用外部命令,但这完全取决于你自己的喜好。
另外,我建议进一步验证用户输入是否符合你期望的形式。
8. XXE
XXE (XML 外部实体) 是一种应用程序使用配置不正确的 XML 解析器解析外部 XML 时,导致的本地文件包含攻击,甚至可以远程代码执行。
XML 有一个鲜为人知的特性,它允许文档作者将远程和本地文件作为实体包含在其 XML 文件中。
<?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY passwd SYSTEM "file:///etc/passwd" >]> <foo>&passwd;</foo>
就像这样, /etc/passwd 文件内容被转储到 XML 文件中。
如果你使用 libxml 可以调用 libxml_disable_entity_loader
来保护自己免受此类攻击。使用前请仔细检查 XML 库的默认配置,以确保配置成功。
9. 在生产环境中不正确的错误报告暴露敏感数据
如果你不小心,可能会在生产环境中因为不正确的错误报告泄露了敏感信息,例如:文件夹结构、数据库结构、连接信息与用户信息。
你是不希望用户看到这个的吧?
Im Allgemeinen variiert die Konfigurationsmethode je nach verwendetem Framework oder CMS. Oft verfügen Frameworks über Einstellungen, mit denen Sie die Site in eine Art Produktionsumgebung umwandeln können. Dadurch werden alle für den Benutzer sichtbaren Fehlermeldungen in die Protokolldatei umgeleitet und dem Benutzer nicht beschreibende 500-Fehler angezeigt, während Sie die Überprüfung anhand des Fehlercodes durchführen können.
Aber Sie sollten es entsprechend Ihrer PHP-Umgebung einstellen: error_reporting
und display_errors
.
10 Anmeldebeschränkungen
Wie Login Sensitive Formulare sollten eine strenge Ratenbegrenzung haben, um Brute-Force-Angriffe zu verhindern. Speichert die Anzahl der fehlgeschlagenen Anmeldeversuche für jeden Benutzer in den letzten Minuten. Wenn die Rate einen von Ihnen definierten Schwellenwert überschreitet, werden weitere Anmeldeversuche abgelehnt, bis die Abklingzeit abgelaufen ist. Benutzer können auch per E-Mail über fehlgeschlagene Anmeldungen benachrichtigt werden, damit sie wissen, dass ihr Konto angegriffen wurde.
Einige zusätzliche Ergänzungen
● Vertrauen Sie nicht der vom Benutzer an Sie weitergegebenen Objekt-ID, sondern überprüfen Sie immer den Zugriff des Benutzers auf das angeforderte Objekt
● Server Bleiben Sie über die von Ihnen verwendeten Bibliotheken auf dem Laufenden
● Abonnieren Sie sicherheitsrelevante Blogs und erfahren Sie mehr über die neuesten Lösungen
● Speichern Sie niemals Benutzerkennwörter in Protokollen
● Tun Sie dies nicht. Die gesamte Codebasis wird im WEB-Stammverzeichnis gespeichert
● Erstellen Sie niemals ein Git-Repository im WEB-Stammverzeichnis, es sei denn, Sie möchten die gesamte Codebasis preisgeben
● Gehen Sie immer davon aus dass Benutzereingaben unsicher sind
● Stellen Sie das System so ein, dass die Anzeige von IP-Adressen mit verdächtigem Verhalten, wie z. B. dem zufälligen Scannen von URLs durch Tools und Crawler, verhindert wird
● Vertrauen Sie Dritten nicht zu sehr. Partycodes, da diese sicher sind
● Nicht verwenden. Composer erhält den Code direkt von Github
● Wenn Sie nicht möchten, dass die Website von einem Dritten domänenübergreifend iframet wird, legen Sie dies bitte fest der Anti-Iframe-Header
● Mehrdeutigkeit ist unsicher
● Wenn Sie ein Betreiber oder Mitentwickler sind, dem es an praktischer Erfahrung mangelt, überprüfen Sie bitte den Code so oft wie möglich
● Wenn Sie nicht verstehen, wie eine Sicherheitsfunktion funktionieren soll oder warum sie installiert ist, fragen Sie jemanden, der es weiß, und ignorieren Sie es nicht.
● Schreiben Sie niemals Ihre eigene Verschlüsselung, es ist wahrscheinlich ein schlechter Ansatz
● Wenn Sie nicht über genügend Entropie verfügen, setzen Sie Ihre Pseudozufallszahlengenerierung richtig und verwerfen Sie
● Wenn das Internet nicht sicher ist und Informationen gestohlen werden könnten, Bitte bereiten Sie sich auf diese Situation vor und entwickeln Sie einen Reaktionsplan für Vorfälle
● Deaktivieren Sie die Anzeige der WEB-Stammverzeichnisliste. Viele WEB-Serverkonfigurationen tun dies standardmäßig. Verzeichnisinhalte auflisten, dies kann zu Datenlecks führen
● Clientseitige Validierung reicht nicht aus, alle Inhalte in PHP müssen erneut überprüft werden
● Vermeiden Sie unbedingt die Deserialisierung von Benutzerinhalten, da dies zur Remotecodeausführung führen kann. Weitere Informationen zu diesem Problem finden Sie hier Artikel:
https://paragonie.com/blog/2016/04/securely-implementing-de-serialization-in -php
Tipps
Ich bin kein Sicherheitsexperte und kann daher möglicherweise nicht alles detailliert beschreiben. Obwohl das Schreiben sicherer Software ein mühsamer Prozess sein kann, ist es möglich, einigermaßen sichere Anwendungen zu schreiben, indem man einige Grundregeln befolgt. Tatsächlich haben uns viele Frameworks dabei geholfen, viel Arbeit zu leisten.
Sicherheitsprobleme können nicht wie Syntaxfehler usw. während der Entwicklungsphase verfolgt werden, bevor das Problem auftritt. Daher sollten Sie beim Schreiben von Code stets darauf achten, Sicherheitsrisiken zu vermeiden. Wenn Sie aufgrund geschäftlicher Anforderungen gezwungen sind, einige Sicherheitsvorkehrungen vorübergehend zu ignorieren, müssen Sie meines Erachtens alle im Voraus über die damit verbundenen potenziellen Risiken informieren.
Wenn Sie von diesem Artikel profitiert haben, teilen Sie ihn bitte mit Ihren Freunden und lassen Sie uns gemeinsam eine sichere Website erstellen.
Das obige ist der detaillierte Inhalt von10 häufige PHP-Sicherheitsprobleme (Erklärungen mit Beispielen). Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!