php项目私有化部署保护代码,ThinkPHP项目安全配置解决方案

最新推荐文章于 2022-03-20 22:58:42 发布
最新推荐文章于 2022-03-20 22:58:42 发布
阅读量1k 收藏
点赞数
文章标签: php项目私有化部署保护代码

前言:

ThinkPHP MVC框架越来被开发者接受,众多的开发者选择了这个框架,也有很多的优秀项目使用的ThinkPHP框架。最近整理了一下ThinkPHP项目的一些安全配置。可能并不适用全部项目,大家可以适当的使用如下的安全配置。

前置知识:

web容器和各类组件的版本,这里使用的LNMP 的架构:Nginx1.19 Mysql 5.6 PHP7.4 Centos8.2,这里推荐是PHP的版本7.4

一、ThinkPHP常见的被入侵方式

136be34314a57ba454d97dfa8ef5d707.png

ThinkPHP RCE

案例分享:

在某些ThinkPhp版本中只有开启了Debug才会导致命令执行的出现,例如拿ThinkPhp5.1.14举例

获取网站的绝对路径等等敏感信息

136be34314a57ba454d97dfa8ef5d707.png

开启了Debug,执行exp

136be34314a57ba454d97dfa8ef5d707.png

2、通过log日志获取网站权限

智宇发卡网举例

此发卡网是可以访问runtime目录的,给大家看看目录

136be34314a57ba454d97dfa8ef5d707.png

他入口文件和runtime目录在同一个目录里面,他也没设置其他东西,所以可以直接访问runtime目录

然后根据runtime目录的日志存储的格式runtime/log/年份月份/日.log来存储的,所以得到runtime/log/202007/22.log来获取网站日志,在遍历日志的时候在18号发现了管理员账号密码

136be34314a57ba454d97dfa8ef5d707.png

通过后台登录账号密码,通过代码审计发现存在一个比较鸡肋的Rce

利用条件

可以开启日志,或者支持into outfile

GetShell

1

在审计的时候发现了数据库可以指定其他文件进行数据库恢复(恢复数据相当于执行SQL语句),下面是利用步骤

1.下载网站备份文件

2.修改SQL语句,添加漏洞利用代码

3.在文件存储处添加.sql的后缀,然后在上传文件的地方上传.sql文件

4.然后在恢复数据的时候指定这个.sql文件达到写shell的目的

备份数据库

最低0.47元/天 解锁文章
齐泉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 商业源码加密保护,关于PHP源码加密保护的方式
weixin_31047023的博客
03-11 1222
很久没写关于技术类文章了,记得以前写关于技术类的文章都是15年前的事儿了,这篇文章有点软广告的性质,愿意读的请继续,如不耐烦的请关闭。当然后续我也会更新一些业务实现的文章。PHP加密方式很多,大多数作者通过源码混淆加密形式保护代码,我们提供的加密方式是以核心源码授权保护形式,作者可以把部分核心源码给予我们,我们再做二次加密,并且给作者提供授权的KEY和.so或.dll的PHP内核文件,作者要求购买...
代码平台信息安全问题如何保障?私有化部署支持是关键
LowCode_的博客
06-15 688
编者按:本文分析了企业信息安全问题主要来自哪里,指出了私有化部署平台对企业信息安全的重要意义。并进一步介绍了老牌低代码平台在部署方面和人员管控方面的是如何实践的。
ThinkPHP3.2.3 的异常和错误屏蔽处理
weixin_34365635的博客
01-20 386
一、入口文件关闭调试,配置文件配置异常页面 在生产环境中系统的错误信息不能暴露给用户,入口文件的 APP_DEBUG 默认为开启状态 define('APP_DEBUG',true); 此时如果用户访问到不存在的模块、控制器或者方法会出现:   在生产环境中需要把 APP_DEBUG 设置为 FALSE 或者将该定义屏蔽: define('APP_DEBUG',fals...
Thinkphp3.2.3安全开发须知
Fly_鹏程万里
12-11 1287
0x00 简介 阅读须知 1, 本文所用框架是官方Thinkphp3.2.3 2, 本文所举例子并不关TP这个框架什么事情,也没有吐槽TP的意思,只是单纯的希望帮助使用TP的开发者更好的认识这框架,能够安全的利用框架,明白在使用TP的过程中,哪一些操作是可能会造成安全问题的。 3,本文,不涉及什么源码解析,就是单纯的告诉你们,什么样子的情况下会造成注入,什么样子会造成命令执行,什么样子会造成模版...
php6 配置,thinkphp6路由可选参数配置
weixin_30620121的博客
04-10 1166
thinkphp6 路由可选参数配置后#0 [0]InvalidArgumentException in Container.php line 455方法参数错误:id路由配置参考手册如下可选变量支持对路由参数的可选定义,例如:Route::get('blog/:year/[:month]','Blog/archive');// 或者Route::get('blog//','Blog/archiv...
Nginx 日志、Rewrite及403报错信息处理等
RSQ博客
03-20 3609
目录 1. Nginx日志 1.1 Nginx错误日志介绍 1.2 Nginx访问日志介绍 1.2.1 访问日志参数 1.2.2 访问日志配置说明 1.3 Nginx常用日志收集工具 2 Nginx Location 2.1 location作用 2.2 location语法 2.3 location匹配示例 3 Nginx Rewrite 3.1 Nginx Rewrite语法...
THINKPHP 安全
张默的博客
07-08 1476
输入过滤 永远不要相信客户端提交的数据,所以对于输入数据的过滤势在必行,我们建议: 开启令牌验证避免数据的重复提交; 使用自动验证和自动完成机制进行初步过滤; 使用系统提供的I函数获取用户输入数据; 对不同的应用需求设置不同的安全过滤函数,常见的安全过滤函数包括stripslashes、htmlentities、htmlspecialchars和strip_tags等   使用I函数过...
在云虚拟主机部署thinkphp5项目的步骤详解
10-18
下面将详细讲解部署ThinkPHP5项目的关键步骤,以及需要注意的一些安全性和性能优化事项。 首先,我们需要确保拥有一个合适的环境。在本例中,我们使用的是ThinkPHP 5.0.11版本,并且云虚拟主机运行的是CentOS操作...
PHP框架之ThinkPHP项目CMS内容管理系统源码及开发手册
04-07
4. **ThinkPHP的安装与配置**:学习如何下载ThinkPHP框架,配置环境,设置项目目录结构,以及安装必要的依赖库,如Composer,用于管理PHP项目的依赖关系。 5. **CMS系统架构**:内容管理系统通常包含用户管理、内容...
ThinkPHP项目分组配置方法分析
10-22
在本文中,我们将深入探讨ThinkPHP框架中的项目分组配置方法。项目分组是ThinkPHP框架中一个重要的组织机制,它允许开发者将多个相关的项目组合到一个大的项目中,同时保持各自独立的配置、公共文件和语言包。这种...
Nginx下ThinkPHP5的配置方法详解
12-18
本文主要给大家介绍了关于Nginx下ThinkPHP5的配置方法,分享出来供大家参考学习,下面话不多说,来一起看看详细的介绍: url里public目录的隐藏 出于安全的考虑,TP5的入口文件改成放在public下了,因为这样的话能防止被恶意用户访问到“/thinkphp/”、“/vendor/”等等这些目录下的文件。所以当你以之前的习惯将网站documentroot配置项目根目录的时候就会需要在url后面加上/public/来访问。当然可能也会有童鞋把入口文件放回到根目录下,然后还是以之前3.x版那样的形式访问了。 但是很显然,这么做并不是那么的科学。 假设项目目录为“/web/wwwro
ThinkPHP公共配置文件与各自项目配置文件组合的方法
10-25
主要介绍了ThinkPHP公共配置文件与各自项目配置文件组合的方法,涉及array_merge函数将多个数组合并的方法,是ThinkPHP项目开发中非常实用的技巧,需要的朋友可以参考下
thinkphp项目部署到Linux服务器上报错“模板不存在”如何解决
12-18
在开发基于ThinkPHP框架的项目时,我们常常会遇到各种问题,尤其是在将项目从本地环境部署到Linux服务器上时。本篇文章将详细讨论一个常见的问题:“模板不存在”的错误,以及如何解决这个问题。 当ThinkPHP项目在...
ThinkPHP框架安全实现分析
topofgods的博客
10-20 833
http://www.freebuf.com/articles/web/59713.html
Nginx服务器拒绝非GET方式请求保障安全
RodJohnson_523391的专栏
03-06 776
upstream tomcat { ip_hash; server 192.168.2.187:8080; } location ~* /html { if ($request_method = PUT ) { return 403; } if ($request_method = DELETE ) { return 403; } if ($request_method = ...
SaaS部署系统和私有化部署安全性上的差异
热门推荐
biziwaiwai的博客
03-09 1万+
一、简要介绍SaaS部署系统:软件及服务系统,是一种服务提供商通过internet提供软件的模式,用户无需在本地安装软件,只需通过互联网访问即可得到服务私有化部署:用户直接将软件部署在本地的服务器上二、SaaS安全还是私有化部署安全?1.     私有化部署安全性:数据位置存放在本地直观来看,私有化部署将软件直接部署在内网的本地服务器中,数据把握在企业内部。SaaS部署的系统是企业通过购买Saa...
什么是PaaS平台?一文看懂SaaS、PaaS和私有化部署的区别
m0_47465164的博客
09-14 6403
毫无疑问,PaaS与企业在服务与开发过程中的需求密切相关,特别是随着云计算的发展和企业平台化战略的驱动,企业对于云原生应用和全新的应用开发都提出了更高要求,而PaaS作为“承上启下”的中间层也变得越来越重要,更成为了当下云计算技术和应用创新最活跃的领域。 本文,就来分别介绍下到底什么是SaaS、PaaS和私有化部署。 什么是PaaS模式? 采用PaaS部署的方式更适合中大型企业,需要企业自身的IT团队或是技术支持人员有较高的技术水平。 企达IM SDK是企达PaaS体系的一部分,只需嵌入SDK即可。当S
thinkphp6 auth 权限控制 可控制到每一个方法,最简单办法
qq_34170840的博客
03-20 3101
thinkphp6 auth 权限控制 可控制到每一个操作方法,最简单办法
传感器实训霍尔件无损探伤.doc
最新发布
07-16
传感器
PHP代码使用ThinkPHP框架部署到腾讯云如何配置数据库
05-16
在腾讯云上部署ThinkPHP框架并配置数据库,需要进行以下步骤: 1. 登录腾讯云控制台,进入云服务器页面,创建一台云服务器并登录服务器。 2. 安装LAMP环境或LNMP环境,具体安装方式可参考腾讯云官方文档。 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值