简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

PHP のスーパー ジレンマ: SuperGlobal_PHP チュートリアルがもたらすハッカー

WBOY
リリース: 2016-07-13 10:36:19
オリジナル
924 人が閲覧しました

Imperva は、新しい商用セキュリティ ソリューションのパイオニアであり、リーダーです。データセンターの重要なアプリケーションと高価値のビジネス データにセキュリティ ソリューションを提供することに注力しており、物理データセンターおよび仮想データセンター向けに特別に設計された新しい保護レイヤーを初めて立ち上げました。企業セキュリティの 3 番目の柱として。最近、同社は 9 月のハッカー インテリジェンス アクション レポート「PHP SuperGlobals: Supersize Trouble」 (PHPSuperGlobals: Supersize Trouble) を発表しました。このレポートでは、PHP の「SuperGlobal」パラメータを含む攻撃を含む、PHP アプリケーションに対する最近の攻撃を詳細に分析しました。さらに、攻撃活動の一般的な特徴と、World Wide Web の全体的な整合性の重要性を分析しました。

Imperva の最高技術責任者であるアミチャイ・シュルマン氏は、「侵害されたホストは他のサーバーを攻撃するためのゾンビスレーブとして使用される可能性があるため、PHP アプリケーションに対する攻撃はネットワーク全体のセキュリティと健全性に影響を与える可能性があります。これらの攻撃は非常に深刻な結果をもたらすでしょう」と述べています。その結果、PHP プラットフォームは最も一般的に使用されている Web アプリケーション開発プラットフォームであり、Facebook や Wikipedia を含む Web サイトの 80% 以上を支えているため、セキュリティ コミュニティが今この問題にもっと注意を払う必要があることは明らかです。

このレポートでは、ハッカーが高度な攻撃手法と単純なスクリプトを組み合わせることがますます可能になっていることも明らかになりました。同時に、レポートでは、PHP SuperGlobals は攻撃に対して高い投資収益率をもたらす可能性があるため、ハッカー攻撃の主なターゲットになっていると考えています。

PHP SuperGlobal パラメータは、複数のセキュリティ問題を同じ高度なネットワーク脅威に結びつけることができるため、ハッカー コミュニティでますます人気が高まっています。これにより、アプリケーション ロジックを混乱させ、サーバーを侵害し、不正なトランザクションやデータ盗難を引き起こす可能性があります。 Imperva 研究チームは、1 か月間で各アプリケーションが SuperGlobal パラメータ攻撃パスを含む平均 144 件の攻撃を受けていることに気付きました。さらに、研究者らは、攻撃活動が 5 か月以上続く可能性があり、リクエストのピーク期間には、各アプリケーションが 1 分間に最大 90 件の攻撃を受ける可能性があることも発見しました。

レポートのハイライトと推奨事項は次のとおりです:

• キーがサードパーティのインフラストラクチャに公開される場合は、「フォールバック」セキュリティ モデルが必要です。レポートでは、PHP 環境で MySQL データベースを管理するために広く使用されている PhpMyAdmin (PMA) ツールに脆弱性が見つかりました。このツールは MySQL データベースを使用する他のアプリケーションにバンドルされていることが多いため、管理者がこのツールを使用していない場合でも、ツールの弱点によりサーバーがコード実行攻撃にさらされ、サーバー全体の乗っ取りにつながる可能性があります。この問題を解決するには、「退避」セキュリティ モードを採用することをお勧めします。

• アクティブ セキュリティ モードを使用するのが最善です: アクティブ セキュリティ メカニズムでは、攻撃者が外部変数を使用して弱いリンクを操作することを防ぐことができます。このモードでは、全員が同じ内部変数を使用できます。外部パラメータに送信されるため、元の内部変数値が上書きされます。

•ハッカーはますます洗練されています: Imperva の研究者は、攻撃者が複雑な攻撃を仕掛け、それをシンプルで使いやすいツールに統合できることを発見しました。しかし、PHP の攻撃手法は強力な攻撃能力を発揮する一方で、欠陥もあります。攻撃の 1 段階を検出して無力化するアプリケーション セキュリティ ソリューションは、攻撃全体を無力にする可能性があります。

• リクエスト内の SuperGlobal パラメータはブロックする必要があります。これらのパラメータはリクエストに表示される理由がないため、禁止する必要があります。

http://www.bkjia.com/PHPjc/739149.htmlwww.bkjia.com本当http://www.bkjia.com/PHPjc/739149.html技術記事 Imperva は、新しい商用セキュリティ ソリューションの先駆者でありリーダーであり、データセンターの重要なアプリケーションと高価値のビジネス データにセキュリティ ソリューションを提供することに専念しています...
関連ラベル:
php ハッカー
ソース:php.cn
前の記事:PHP と Nginx を組み合わせて動的トリミング画像ソリューションを実装する_PHP チュートリアル 次の記事:PHPファイルサイズ整形関数集_PHPチュートリアル
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
URL パラメータから取得した PHP 配列が期待どおりに動作しない カテゴリ ID を含む URL パラメータがあり、それを次のような配列として扱いたいと考えています: http://example.com?cat[]=3,9,13 PHP では、...
から 2024-04-06 22:09:02
0
1
1428
ApacheのどこにCustomLogディレクティブを配置すればよいですか 私はphp:7.2-apachedockerを使用しています。ヘルスチェック URL ログイン アクセス ログを無効にする必要があります。このリンクに基づいて、Customlog ...
から 2024-04-06 22:03:59
0
1
990
戻り値の変数の形式は何ですか? 私はphpの初心者です。コードを見つけました: if($x<time()){return[false,'error'];} ロジックや変数は重要ではありませんが、[false...
から 2024-04-06 21:55:20
0
1
778
opentbs を使用して odt ファイルを生成するときに発生する問題: 同じキーの値が別の列ではなく同じ行に表示されます。 PHPでodtを作成するためにOpenTbsというライブラリを使っていますが、列と行が動的に生成されるので利用しています。行と列の作成方法は知っていますが、それらを整理する方法がわ...
から 2024-04-06 20:18:18
0
1
483
ループするために MySQL の結果を ID ごとにグループ化する mysqlにフライトデータを含むテーブルがあります。 codeigniter3Journey_idair_idFlightDurationout_or_inflightdurati...
から 2024-04-06 17:27:56
0
1
406
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート
私たちについて 免責事項 Sitemap
PHP中国語ウェブサイト:福祉オンライン PHP トレーニング,PHP 学習者の迅速な成長を支援します!