PHP 网络安全

2019独角兽企业重金招聘Python工程师标准>>>

PHP 网络安全

1.安全相关配置:

• 1.恶意攻击,暴力破解型 使用防火墙等禁止访问 使用HTTLS安全验证等手段
• 2.减少PHP内置模块数量,减少加载项
• 3.开启expose_php = off 禁止php在http头内暴漏php及版本号
• 4.设置关闭PHP错误信息,记录错误信息日志
• 5.禁止远程运行代码 allow_url_fpen = off
• 6.禁止PHP中危险函数 disable_functions=
• 7.限制PHP访问文件系统 open_basedir = '项目文件路径'
• 8.限制文件/目录访问权限
• 9.使用linux charrt命令保护重要文件不被修改复制重命名等操作
• 10.开启PHP安全模式 safe_mode = ON;
• 11.关闭注册全局变量 register_globals = Off 获取GET提交的变量var，那么就要用$_GET[‘var’]来进行获取
• 12.开启magic_quotes_gpc 来方式sql注入 或者 手动转义字符.

2.SQL注入

• (1)不用用户名和密码 使用 ‘or 1=’1′ 或 ‘or’=’or” 等方式. - (2)在不输入密码的情况下，利用某用户。 where user_name=’ benwin’#’ and ...
• (3)猜解某用户密码 where user_name=’ benwin’ and left(pwd,1)=’p’#’ and pwd =’$pwd'”;
• (4)插入数据时提权 “update phpben set `user_name` =’benwin’,level=5#’, level=1″
• (5)恶意更新和删除
• (7)union、join等
• (8)通配符号%
  SQL注入原理是利用sql中的特殊符号,固定字符及二进制解析等达到 跳过验证,或者添加修改数据,恶意更新删除
  主要防范措施:
  1).addslashes 和stripslashes。    预定义字符转义.php.ini是否开启了magic_quotes_gpc=ON，开启若使用addslashes会出现重复。
  2).mysql_escape_string() 和 mysql_real_escape_string()
  mysql_real_escape_string 必须在(PHP 4 >= 4.3.0, PHP 5)的情况下才能使用。否则只能用 mysql_escape_string()
  mysql_escape_string()和mysql_ real _escape_string()区别在于后者会判断当前数据库连接字符集，换句话说在没有连接数据库的前提下会出现错误
  3).防注入则要先知道有哪些注入字符或关键字，常见的mysql注入字符有 : **
  (1).字符界定符号如“’”、“””；
  (2).逻辑关键字如“and”、“or”；
  (3).mysql注悉字符如“#”，“– ”，“//”；
  (4).mysql通配符“%”，“_”；
  (5).mysql关键字:“select|insert|update|delete|*|union|join|into|load_file|outfile”
  **4).使用PDO绑定参数做预处理 **

3.XSS攻击

XSS：cross site script 跨站脚本 利用填写数据内容 插入脚本 获取相应信息,或者达到某种目的.
**原理:填写的信息为脚本信息代码 **
处理方式:
1.使php中提到的 实体转义 strip_tags()、htmlspecialchars()、htmlentities()等函数可以起作用
2.过滤或移除特殊的Html,JavaScript标签。

4.会话固定攻击

Session固定攻击(Session Fixation)
攻击者预先设定session id，让合法用户使用这个session id来访问被攻击的应用程序，一旦用户的会话ID被成功固定，攻击者就可以通过此session id来冒充用户访问应用程序。
例如:
1.攻击者访问网站www.aa.com 获取他自己的session id，如：SID=123；
2.攻击者给目标用户发送链接，并带上自己的session_id，如：http:///www.aa.com/?SID=123；
3.目标用户点击了http:///www.aa.com/?SID=123 像往常一样，输入自己的用户名、密码登录到网站；
4.由于服务器的session id不改变，现在攻击者点击http:///www.aa.com/?SID=123 他就拥有了目标用户的身份，可以为所欲为了。

处理方式:
1.定期更改session id
session_regenerate_id(TRUE);//删除旧的session文件，每次都会产生一个新的session id。默认false，保留旧的session
2.更改session的名称
session的默认名称是PHPSESSID，此变量会保存在cookie中，如果攻击者不抓包分析，就不能猜到这个名称，阻挡部分攻击 session_name("mysessionid");
3.关闭透明化session id
透明化session id指当浏览器中的http请求没有使用cookie来制定session id时，sessioin id使用链接来传递 int_set("session.use_trans_sid", 0);
4.只从cookie检查session id
int_set("session.use_cookies", 1);//表示使用cookies存放session id
int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id
5.使用URL传递隐藏参数
token验证
$_SESSION["sid"] = $sid;//攻击者虽然能获取session数据，但是无法得知$sid的值，只要检查sid的值，就可以确认当前页面是否是web程序自己调用的

5.会话捕获和劫持

攻击者利用各种手段来获取目标用户的session id。一旦获取到session id，那么攻击者可以利用目标用户的身份来登录网站，获取目标用户的操作权限。
防范方法：
1.定期更改session id
2.更改session的名称
3.关闭透明化session id
4.设置HttpOnly。通过设置Cookie的HttpOnly为true，可以防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。

6.跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)

攻击者伪造目标用户的HTTP请求，然后此请求发送到有CSRF漏洞的网站，网站执行此请求后，引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法权限，所以目标用户能够在网站内执行特定的HTTP链接，从而达到攻击者的目的。
它与XSS的攻击方法不同，XSS利用漏洞影响站点内的用户，攻击目标是同一站点内的用户者，而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。
防范方法：
1、检查网页的来源
2、检查内置的隐藏变量
3、使用POST，不要使用GET，处理变量也不要直接使用$_REQUEST

7.文件上传漏洞

攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。
常用的攻击手段有：
上传Web脚本代码，Web容器解释执行上传的恶意脚本；
上传Flash跨域策略文件crossdomain.xml，修改访问权限(其他策略文件利用方式类似)；
上传病毒、木马文件，诱骗用户和管理员下载执行；
上传包含脚本的图片，某些浏览器的低级版本会执行该脚本，用于钓鱼和欺诈。
总的来说，利用的上传文件要么具备可执行能力(恶意代码)，要么具备影响服务器行为的能力(配置文件)。
防范方法：
1.文件上传的目录设置为不可执行；
2.判断文件类型，设置白名单。对于图片的处理，可以使用压缩函数或者resize函数，在处理图片的同时破坏图片中可能包含的HTML代码；
3.使用随机数改写文件名和文件路径：一个是上传后无法访问；再来就是像shell、.php 、.rar和crossdomain.xml这种文件，都将因为重命名而无法攻击；
4.单独设置文件服务器的域名：由于浏览器同源策略的关系，一系列客户端攻击将失效，比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。
5.文件上传单独处理。使用第三方云存储，解决访问效率，安全，硬盘等问题

8 缓冲区漏出攻击

参见 缓冲区漏出攻击

转载于:https://my.oschina.net/u/3501089/blog/1922948