owasp php代码,OWASP 保护的 PHP 平安设置速查表_后端开发

最新推荐文章于 2024-07-27 09:56:32 发布
最新推荐文章于 2024-07-27 09:56:32 发布
阅读量127 收藏
点赞数
文章标签: owasp php代码

0a22c7e7f2cbff55fd17294eb113de1b.png

引见

这个页面的目标是为了协助那些设置 PHP 和运转它的 web 服务器的人确保它的平安性。

下面你将找到有关 php.ini 文件的准确设置信息。

php.ini

下面的一些设置须要顺应你的体系,特别是 session.save_path, session.cookie_path (比方: /var/www/mysite),和 session.cookie_domain (比方:ExampleSite.com)。

你还应该运转 PHP 7.2 或许更高版本。假如你运转的版本是 PHP 7.0 和 PHP 7.1 ,你将在下面的几个处所运用略有不同的值(看内联的解释)。

末了,检察 PHP 文档 以取得关于 php.ini 设置文件中每一个值的参考。

你能够在一个现成的 php.ini 文件中找到以下设置的副本 此处 。

PHP 错误处置惩罚

expose_php = Off

error_reporting = E_ALL

display_errors = Off

display_startup_errors = Off

log_errors = On

error_log = /valid_path/PHP-logs/php_error.log

ignore_repeated_errors = Off

请注意:你须要在生产环境中 display_errors 设置成 Off, 同时最好养成常常检察这些日记的好习惯。

PHP 通用设置

doc_root = /path/DocumentRoot/PHP-scripts/

open_basedir = /path/DocumentRoot/PHP-scripts/

include_path = /path/PHP-pear/

extension_dir = /path/PHP-extensions/

mime_magic.magicfile = /path/PHP-magic.mime

allow_url_fopen = Off

allow_url_include = Off

variables_order = "GPCS"

allow_webdav_methods = Off

session.gc_maxlifetime = 600

allow_url_* 很容易发生 LFI 另有 RFI 完整破绽。

PHP 上传文件处置惩罚

file_uploads = On

upload_tmp_dir = /path/PHP-uploads/

upload_max_filesize = 2M

max_file_uploads = 2

假如你的运用没有运用文件上传功用,或许说用户唯一的输入上传的体式格局是经由过程没有包括文档附件的表单提交, file_uploads 应该被设置成 Off。

PHP 可执行处置惩罚

enable_dl = Off

disable_functions = system, exec, shell_exec, passthru, phpinfo, show_source, highlight_file, popen, proc_open, fopen_with_path, dbmopen, dbase_open, putenv, move_uploaded_file, chdir, mkdir, rmdir, chmod, rename, filepro, filepro_rowcount, filepro_retrieve, posix_mkfifo

# 请检察:http://ir.php.net/features.safe-mode

disable_classes =

以上是 PHP 中存在风险的要领和类.。你应该禁用个中不会运用到的要领和类。

PHP session 处置惩罚

Session 设置中有一些须要重点关注的值, 将 session.name 改成新的是个很好的演习.

session.save_path = /path/PHP-session/

session.name = myPHPSESSID

session.auto_start = Off

session.use_trans_sid = 0

session.cookie_domain = full.qualified.domain.name

#session.cookie_path = /application/path/

session.use_strict_mode = 1

session.use_cookies = 1

session.use_only_cookies = 1

session.cookie_lifetime = 14400 # 4小时

session.cookie_secure = 1

session.cookie_httponly = 1

session.cookie_samesite = Strict

session.cache_expire = 30

session.sid_length = 256

session.sid_bits_per_character = 6 # PHP 7.2+

session.hash_function = 1 # PHP 7.0-7.1

session.hash_bits_per_character = 6 # PHP 7.0-7.1

更多的平安隐患的搜检

session.referer_check = /application/path

memory_limit = 50M

post_max_size = 20M

max_execution_time = 60

report_memleaks = On

track_errors = Off

html_errors = Off

英文原文地点:

https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/PHP_Configuration_Cheat_Sheet.md

以上就是OWASP 保护的 PHP 平安设置速查表的细致内容,更多请关注ki4网别的相干文章!

收藏 | 0

孙悟空的爸爸
关注
CheatSheetSeries:创建OWASP Cheat Sheet系列是为了提供有关特定应用程序安全性主题的高价值信息的简洁集合。
02-05
欢迎来到OWASP速查表系列 欢迎使用Open Web Application SecurityProject:registered:(OWASP)备忘单系列项目的官方存储库。 该项目着重于为构建者提供良好的安全实践,以保护其应用程序。 为了阅读备忘单并参考它们,请使用项目的。 无需备忘单即可在上查看项目详细信息。 :triangular_flag: Markdown文件是有效的源文件,不能在任何外部文档,书籍或网站中引用。 备忘单系列团队 项目负责人 与我们聊天 在Slack上很容易找到: 通过此加入OWASP Group Slack。 加入。 随时提出问题,提出想法或分享您的最佳食谱。 贡献,功能请求和反馈 我们正在积极邀请新的
PHP代码审计资料整理
03-04
PHP代码审计是软件开发过程中的一个重要环节,尤其是在后端开发领域。它涉及到对PHP代码进行深入检查,以发现潜在的安全漏洞、性能瓶颈和其他质量问题。本资料整理将围绕PHP代码审计这一主题,涵盖PHP开发语言的...
owasp php代码,OWASP 维护的 PHP 安全配置速查表
weixin_36424744的博客
03-29 123
介绍这个页面的目的是为了帮助那些配置 PHP 和运行它的 web 服务器的人确保它的安全性。下面你将找到有关 php.ini 文件的正确配置信息。php.ini下面的一些设置需要适应你的系统,特别是 session.save_path, session.cookie_path (例如: /var/www/mysite),和 session.cookie_domain (例如:ExampleSite...
OWASP TOP 10(一)PHP代码注入(概述、注入方式、漏洞利用(中国蚁剑获取shell、获取文件路径、读写文件)、防御方法、Seacms的php注入)
Pluto.的博客
12-15 816
文章目录OWASP TOP 10PHP代码注入一、概述二、PHP相关函数&语句1. eval()2. assert()3. preg_replace4. call_user_func5. 动态函数 `$a($b)`三、漏洞利用1. 直接获取Shell2. 获取当前文件的绝对路径3. 读文件4. 写文件四、防御方法五、Seacms的php注入 OWASP TOP 10 PHP代码注入 一、概述 概述 PHP代码注入(执行):在Web方面应用程序过滤不严,用户可以通过请求将代码注入到应用中执行。 代
owasp php代码,phpvuln|查找PHP代码漏洞工具|OWASP渗透测试工具
weixin_42542420的博客
03-29 231
phpvuln是用Python 3编写的开源OWASP渗透测试工具,它可以加快在PHP代码中查找常见PHP漏洞的过程,例如命令注入,本地/远程文件包含和SQL注入。phpvuln安装方法您可以通过克隆Git存储库来下载phpvuln:git clone https://github.com/ecriminal/phpvuln.git切换目录cd phpvuln安装所需的PIP软件包:python ...
OWASP
qq_42812036的博客
02-18 322
漏洞成因、原理、攻击的方法、防范的方法、攻击与防范的技巧。 SSRF SSRF(服务器端请求伪造) 成因:其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制 导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据 数据流:攻击者----->服务器---->目标地址(一般用来在外网探测或攻击内网服务) ...
PHP质量工具系列之 Owasp Dependency-Check
made4971的博客
05-22 995
目前,已支持Java、.NET、Ruby、Node.js、Python等语言编写的程序,并为C/C++构建系统(autoconf和cmake)提供了有限的支持。扫描完成后会在 -o 指定的目录生成dependency-check-report.html, 流缆该页面查看结果。直接覆盖掉 ./dependency-check/data/jsrepository.json 里面的内容即可。不扫描net程序,启用该选项,否则报错如下,若需要扫描.net程序,直接安装.net Framework即可。
OWASP ZAP:一款功能强大的开源Web安全扫描工具
Coder加油站的专栏
07-27 2037
OWASP ZAP是一个功能强大的Web应用程序安全扫描工具,适用于各种开发、测试和生产环境。通过自动扫描、手动测试、被动扫描和主动扫描等多种功能,ZAP能够帮助用户全面评估Web应用程序的安全性。此外,ZAP还提供了强大的API、插件和扩展功能,可以与CI/CD流水线集成,自动化地进行安全测试
10 个 PHP 代码安全漏洞扫描程序
allway2的博客
08-01 5392
PHP核心是安全的,但除此之外还有很多其他内容,您可能正在使用它们,并且可能容易受到攻击。在开发了网站或复杂的Web应用程序之后,大多数开发人员和网站所有者都专注于功能、设计、SEO,而他们忘记了必不可少的组件——。作为最佳实践,您应该考虑在上线之前对您的应用程序执行安全扫描。这适用于任何网站——无论大小。有一些工具可以帮助你。PMF(PMF)是一种自托管解决方案,可帮助您在文件中查找可能的恶意代码。众所周知,它可以检测狡猾的、编码器、混淆器、webshellcode。...
OWASP代码审计指南v2.0(含中英文2个版本).zip
10-07
其发布的《OWASP代码审计指南》是一份非常重要的资源,为开发者、安全专家以及审计人员提供了详尽的指导,以帮助他们在开发过程中识别和修复潜在的安全漏洞。v2.0版本是该指南的最新更新,包含了更全面的安全实践和...
从软件开发角度解密_OWASP_TOP_10_应用安全与安全的开发.pdf
08-08
并着重通过示例(OWASP TOP 10 )来解释从研发的视角如何正确理解各种安全问题,以及各种安全问题在开发的各个阶段应如何应对。最后将介绍安全软件开发全生命周期的最佳实践及工具链支持。 OWASP TOP 10浅析 安全...
OWASP_Broken_Web_Apps_VM_1.2
02-16
### OWASP Broken Web Apps VM 1.2:深入解析与实战指南 #### 一、OWASP Broken Web Apps VM 概览 **OWASP Broken Web Apps VM**(虚拟机)是OWASP基金会推出的一个用于安全测试的学习平台。它包含了多个故意设计...
浅谈OWASP_IoT_TOP10与物联网安全开发生命周期.pdf
08-11
通过以上对OWASP IoT TOP10的分析以及物联网安全开发生命周期的介绍,我们可以看出,物联网安全是一个复杂且系统性的工程,它需要从设计、开发到运维的每一个环节都进行全面的安全考量,才能确保物联网设备和系统的...
OWASP CheatSheet Series - 技术安全指南的宝典
gitblog_00054的博客
03-19 406
OWASP CheatSheet Series - 技术安全指南的宝典 去发现同类优质开源项目:https://gitcode.com/ 项目是一个极其实用的资源库,提供了丰富的技术指导和最佳实践,帮助开发者们在日常工作中更好地处理网络安全问题。 项目简介 OWASP CheatSheet Series 包含了一系列易于理解、操作性强的安全指南,覆盖了编码、设计、测试等多个环节。这些“作弊表”为程...
MATLAB实现NARX非线性自回归外生模型房价预测(含完整的程序和代码详解)
10-17
内容概要:本文详细介绍了如何使用MATLAB实现NARX非线性自回归外生模型进行房价预测。整个项目涵盖了数据准备、特征工程、模型构建、训练与预测以及GUI界面设计等环节。NARX模型通过结合历史房价数据和外生变量(如经济指标、地理位置等),提高了预测的准确性。项目的多指标评估包括均方误差(MSE)和决定系数(R²),并且设计了用户友好的GUI界面,方便用户自定义输入和展示预测结果。 适合人群:对时间序列预测感兴趣的数据分析师、研究人员及房地产从业人员。 使用场景及目标:适用于房地产市场分析、经济预测、财务决策支持等领域。主要目的是提高房价预测的准确性和可操作性。 其他说明:未来的研究方向包括纳入更多外生变量、优化模型超参数以及探索深度学习技术在房价预测中的应用。在实际应用时需要注意数据预处理和结果的合理解释与应用。
【精品毕设推荐】-基于微信小程序的网上商城系统设计与实现.zip
最新发布
10-17
【项目简介】 可辅助在本地配置运行 网上商城的设计主要是对系统所要实现的功能进行详细考虑,确定所要实现的功能后进行界面的设计,在这中间还要考虑如何可以更好的将功能及页面进行很好的结合,方便用户可以很容易明了的找到自己所需要的信息,还有系统平台后期的可操作性,通过对信息内容的详细了解进行技术的开发。 网上商城平台开发使系统能够更加方便快捷,同时也促使网上商城变的更加系统化、有序化。 系统界面较友好,易于操作。具体在系统设计上,微信端使用微信开发者,后台也使用java技术在动态页面上进行了设计。 关键词:网上商城 ;微信开发者 java语言 Mysql 数据库 SSM框架
数学建模竞赛论文撰写指南-基于厦门地区联合研习活动的实践分享
10-17
内容概要:本文详细介绍了参加厦门地区数学建模联合研习活动所需撰写的论文参考框架,内容涵盖了论文的基本结构和每一部分的具体写作要点。从摘要、关键词、目录到各个章节的撰写要求,以及参考文献和附录的具体规范进行了全面指导,旨在帮助参赛队伍更加系统、科学地完成数学建模竞赛论文。 适合人群:即将参与厦门地区数学建模竞赛的学生及教师,尤其是初次接触数学建模的学生。 使用场景及目标:①作为参加数学建模比赛准备阶段的学习材料;②帮助参赛团队更好地理解和掌握数学建模论文的写作技巧与规范。 其他说明:文中强调了模型假设、模型建立与求解、模型检验、模型评价等多个环节的重要性,鼓励学生在实践中灵活运用,确保论文质量。同时,提供了参考文献的书写标准及具体案例,以便选手查阅并正确引用。
无人车定点控制-基于ROS平台实现差速移动机器人的NMPC控制C++源码.zip
10-17
无人车定点控制-基于ROS平台实现差速移动机器人的NMPC控制C++源码.zip
公司员工信息管理系统 JAVA毕业设计 源码+数据库+论文 Vue.js+SpringBoot+MySQL.zip
10-17
公司员工信息管理系统 JAVA毕业设计 源码+数据库+论文 Vue.js+SpringBoot+MySQL 系统启动教程:https://www.bilibili.com/video/BV11ktveuE2d
提升软件开发安全:OWASP Top 10主动控制关键意识
在《OWASP十大主动控制项目:v3.0》这份文档中,软件开发人员被着重强调了在当今数字时代至关重要的关键安全开发意识。该文档由OWASP(Open Web Application Security Project,开放网络应用安全项目)发布,这是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值