PHP 解决XSS和会话重放

最新推荐文章于 2023-06-02 23:15:36 发布
最新推荐文章于 2023-06-02 23:15:36 发布
阅读量717 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/design321/article/details/98883013
版权

XSS:

function safeFilter ($data) 
{
   $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/script/','/javascript/','/vbscript/','/expression/','/applet/','/meta/','/xml/','/blink/','/link/','/style/','/embed/','/object/','/frame/','/layer/','/title/','/bgsound/','/base/','/onload/','/onunload/','/onchange/','/onsubmit/','/onreset/','/onselect/','/onblur/','/onfocus/','/onabort/','/onkeydown/','/onkeypress/','/onkeyup/','/onclick/','/ondblclick/','/onmousedown/','/onmousemove/','/onmouseout/','/onmouseover/','/onmouseup/','/onunload/');
    if (!get_magic_quotes_gpc())             //不对magic_quotes_gpc转义过的字符使用addslashes(),避免双重转义。
    {
       $data  = addslashes($data);           //给单引号(')、双引号(")、反斜线(\)与 NUL(NULL 字符)加上反斜线转义
    }
    $data       = preg_replace($ra,'屏蔽可疑字符串',$data);     //删除非打印字符,粗暴式过滤xss可疑字符串
    $data     = htmlentities(strip_tags($data)); //去除 HTML 和 PHP 标记并转换为 HTML 实体
    return $data;
}

会话重放:

前端:

<td>
            <?php 
            $x_timestamp = time();
            $x_nonce = rand(0,99999);
            $sign = md5($x_timestamp.$x_nonce.'eastobacco');
        ?>
        <input type="hidden" name="x_timestamp" value="<?php echo $x_timestamp ?>">
        <input type="hidden" name="x_nonce" value="<?php echo $x_nonce ?>">
        <input type="hidden" name="sign" value="<?php echo $sign ?>">
      </td>

后端:

$x_timestamp = $_POST['x_timestamp'];
            $x_nonce = $_POST['x_nonce'];
            $sign = $_POST['sign'];
            if(Yii::app()->memcache->get($x_nonce)){
                echo json_encode(array('code' => -1, 'tip' => '', 'message' => '重复会话'));
                exit;
            }

            if(md5($x_timestamp.$x_nonce.'eastobacco') != $sign){
                echo json_encode(array('code' => -1, 'tip' => '', 'message' => '签名失败'));
                exit;
            }
            if(time()-$x_timestamp > 60){
                echo json_encode(array('code' => -1, 'tip' => '', 'message' => '会话已失效'));
                exit;
            }

 

design321
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP写登录安全之-会话固定和会话重用即session和cookie的使用
u013952845的博客
03-06 712
最近在给政府单位做网站后台编辑模块,被检测出会话固定和会话重用安全问题,解决如下: 解决思路: 首先在做登录是,必须要了解的是客户端的cookie和服务端的session,登录后,不仅要保存服务端的session,还要保存浏览器即客户端的cookie,检测登录时,必须session和cookie的相同key的value值相同,才可验证是否登录。 通过刚才的思路,我们有如下操作: 1、登录界...
会话重放攻击
God_00的博客
06-15 2758
关注我,不迷路!:会话重放攻击(黑客常用的手段之一) 概念:重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击在任何网络通过程中都可能发生,是计算机世界黑客常用的攻击方式之一。 原理:重放攻击的基本原理就是把以前窃听到的数据原封不动地重新发送给接收方。很多
WINDOWS 平台下会话重放库概览。
edger2heaven的专栏
12-21 1201
1、TCPREPLAY *nix平台下,功能强大,不支持Windows。 2、Libcrafter *nix平台下,功能强大,不支持Windows。 3、Scapy 开发语言为python,可通过py2exe转换为EXE,但在Windows 7 下需要额外安装pcapy等工具。 4、PcapPlusPlus,跨平台库,实例较多,在Windows环境下开发需要安装MinGW开发平台。 5、L
会话重放漏洞
夜行者的博客
02-18 3490
攻击者可以拦截并重复发送一个有效的数据包到服务端,服务器端未对用户提交的数据包重放进行有效限制。如:可以抓取HTTP包固定账号破解密码、固定密码破解账号和重放提交投票数据包等。 检测点:用户登录、系统审核、新建用户等关键操作 检测方法:以系统登录为例: 1)使用抓包工具抓取系统登录请求,获得用户和密码参数。 2)使用用户或密码字典替代登录请求会话中对应的用户或密码参数。 3)开始尝试暴力破解。 4)若网站登录请求可以无限尝试登录,则存在漏洞 解决方案: 1.添加nonce验证、时间戳或者图片
会话重放攻击与完整性校验解决方案
阿强的博客
05-03 5388
简介: 攻击者发送一个目的主机已经接收过的包,特别是在认证的过程中,用于认证用户身份所接收的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的安全性。也可利用系统中POST请求数据包未针对单个请求设置有效的验证参数,导致会话请求可以重放,无限制的向数据库中插入海量数据,或无限制的上传文件到系统中,造成资源浪费。 解决方案: 后端写个方法,生成系统当前时间,待前台调用 System.cu...
PHPXSS跨站攻击的防范
10-30
### PHPXSS跨站攻击防范详解 #### 一、XSS跨站攻击概述 XSS(Cross Site Scripting)跨站脚本攻击是一种常见的安全威胁,尤其在Web应用程序中非常普遍。它允许攻击者注入恶意脚本到看似可信的网站上。当其他用户...
php处理xss攻击过滤.rar
01-18
6. **安全的会话管理**:使用HTTPS保护会话ID,定期刷新会话ID,以及禁止在URL中传递会话ID,可以降低会话劫持和XSS攻击的风险。 7. **更新和补丁**:保持PHP和所有依赖库的最新状态,及时安装安全补丁,可以抵御新...
php过滤XSS攻击的函数
10-26
PHP站点如何防御XSS攻击呢?看下面的过滤XSS攻击的PHP函数吧,很实用
php实现XSS安全过滤的方法
10-23
主要介绍了php实现XSS安全过滤的方法,实例分析了php针对XSS进行安全过滤的相关技巧,具有一定参考借鉴价值,需要的朋友可以参考下
百度编辑器解决xss漏洞
03-01
百度编辑器解决xss漏洞
如何录制终端会话重放
u012605023的博客
11-24 239
当你需要为别人在终端上演示某些操作或是需要准备一个命令行教程时,通常要一边手动输入命令一边演,或者也可以录制一段屏幕演示视频,然后再回放出来。其实也有其他的实现方式。 利用script和scriptreplay命令,我们可以录制命令的次序以及时序,将相关数据记录在文本文件中。 利用这些文件,其他人可以在终端上回放并查看命令的输出。 一、实战演练 开始录制终端会话: $ script -t 2&gt...
重放攻击
qq_45001989的博客
09-18 1010
重放攻击: 重复的会话请求就是重放攻击。可能是因为用户重复发起请求,也可能是因为请求被攻击者获取,然后重新发给服务器。 重放攻击的危害: 请求被攻击者获取,并重新发送给认证服务器,从而达到认证通过的目的。 我们可以通过加密,签名的方式防止信息泄露,会话被劫持修改。但这种方式防止不了重放攻击。 重放攻击的防御(保证请求一次有效): ...
会话重放之防御策略、手段
最新发布
慢慢
06-02 743
会话重放是一种攻击方式,攻击者利用先前记录的会话数据来重放或重新发送网络通信流量,以模拟合法用户的身份,从而绕过身份验证或欺骗目标服务器。这种攻击可以被用于窃取数据、执行未授权的操作或者伪造交易等危险行为。
项目安全问题,如何防止会话重放攻击和数据篡改
qq_42204033的博客
12-13 6607
项目到后期都会遇到安全测试问题,本篇整理一下博主的项目怎么解决会话重放和数据篡改问题的。 一般我们的项目中涉及增删改查操作时,前台发起请求后,攻击者利用抓包工具恶意修改客户端的请求参数,就会使服务器执行攻击者想要执行的操作。 对于增删改操作,攻击者抓包后可以无限次发起同样的请求,这样就会使服务器产生很多无用数据甚至崩溃,这就是所谓的会话重放。而对于查询操作一般不会有这个问题,因为查询并没有改变...
XML非法字符的处理
weixin_30947043的博客
12-03 814
在解释XML时,会因为一些非法字符解析异常,因此在解析XML前处理非法字符十分重要。 XML的非法字符包括: 1.需去除去的非法字符范围,在W3C手册XML的非法字符可以查找到: \\x00-\\x08 \\x0b-\\x0c \\x0e-\\x1f 2.需要替换的字符: 字符 HT...
php防止xss攻击以及sql注入
zhumengstyle的博客
12-17 687
function SafeFilter (&amp;amp;$arr) { $ra=Array('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/','/select/','/from/','/update/','/delete/','/drop/','/alter/','/script/','/javascript/','/vbscript/','/expression/'...
SpringBoot如何防止会话重放攻击呢
u013269298的博客
05-19 1381
(会话重放攻击)客户端对服务端的网络请求如果被攻击者拦截并且抓取,攻击者可以用抓取到的参数不断对接口发起重复请求,造成大量重复操作且可能产生重复数据。
php 字符串截取.支持中文和其他编码,,检查字符串是否是UTF8编码
weixin_33834910的博客
08-29 147
为什么80%的码农都做不了架构师?>>> ...
XSS攻击详解:从盗取Cookie到会话劫持
"XSS攻击是Web安全领域的一个重要话题,主要分为三种类型:反射型XSS、存储型XSS和DOM型XSS。本节主要关注反射型XSS,特别是如何利用这种漏洞来盗取用户的Cookie信息。" XSS(Cross-Site Scripting,跨站脚本)是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值