centos7 访问php页面显示源码_PHP安全:敏感信息泄露

最新推荐文章于 2021-08-15 18:43:58 发布
最新推荐文章于 2021-08-15 18:43:58 发布
阅读量214 收藏
点赞数
文章标签: centos7 访问php页面显示源码 php study 直接显示代码 php 获取其他页面的cookie php 获取域名 php显示错误 php网络验证系统

3c4eb25624dab738a797693efe541866.png

文章来源:计算机与网络安全

不少PHP项目中没能正确地保护敏感数据,如某些信用卡、用户ID和身份验证凭据Token。攻击者可能会窃取或者篡改这些数据以进行诈骗、身份窃取或其他非法操作。敏感数据需额外保护,要在存放、传输过程中进行必要的加密,以及在与浏览器交换时实施特殊的预防措施。防止恶意用户获取其他合法用户的隐私数据,甚至通过获取服务器中的敏感数据达到控制服务器的目的。敏感数据的不正确保护主要体现在以下几点。

(1)敏感数据存储时未加密,常见的有密码、身份证、信用卡明码保存在数据库中。

(2)用户敏感数据在传输过程中采用明文传输,密码未经加密直接发送到服务端。

(3)使用旧的或脆弱的加密算法等,只进行简单的MD5计算。

1、登录密码泄露

在用户输入登录密码从浏览器传输到服务器的过程中没有使用数字摘要进行加密,攻击者对数据进行拦截或者抓包,造成明文密码泄露,从而获取用户的明文密码。在身份验证时传输的用户名和密码等应当加密处理后再进行传输。

2、登录信息泄露

如果在需要身份验证的Web上都没有使用SSL加密,攻击者只需监控网络数据流(比如一个开放的无线网络),并窃取一个已通过验证的用户会话Cookie,然后利用这个Cookie执行重放攻击并接管用户的会话,就可访问用户的隐私数据。为了防止重放攻击,可以在验证时加个随机数,以保证验证单次有效。

3、资源遍历泄露

资源遍历泄露是指,在接口传入的参数中存在资源ID类参数,ID为递增整数且权限控制不当将导致资源被遍历。为了防止这种情况,例如用户上传的文件ID、用户ID、企业ID、商品ID、订单ID等,尽量不使用连续的ID序号。表1所列为资源遍历泄露风险点。

b6ea96b031c9693f004372ad6eb57955.png

表1  资源遍历泄露风险点列举

4、物理路径泄露

当攻击者通过接口输入非法数据时,导致服务器端应用程序出现错误,并返回网站物理路径。攻击者利用此信息,可通过本地文件包含漏洞直接得到webshell。系统上线后应当关闭PHP的错误输出,防止调试信息泄露,或者当应用程序出错时,统一返回一个错误页面或直接跳转至首页。

通过PHP配置关闭错误显示如下。

#php.ini

error_reporting=E_ALL & ~E_DEPRECATED & ~E_STRICT // 错误类型

display_errors=off // 禁止错误显示
display_startup_errors=off // 禁用display_startup_errors设置防止PHP的启动过程中被显示给用户的特定错误

PHP程序代码中关闭错误显示如下。

ini_set('display_errors',false); // 关闭错误显示

ini_set('error_reporting',E_ALL&~E_NOTICE&~E_WARNING); // 设置日志记录类型

5、程序使用版本泄露

如果传送大量的数据时,应用程序报错并返回应用程序版本,攻击者可利用此信息,查找官方漏洞文档,并利用现有exploit code实施攻击。

Apache关闭版本号显示如下。

# http.conf

ServerTokens Prod

ServerSignature off #设置为off禁止显示版本号

PHP关闭版本号显示如下。

expose_php = Off   # 设置为Off禁止显示版本号

Nginx关闭版本号显示如下。

# nginx.conf

server_tokens off # 设置为Off禁止显示版本号

6、JSON劫持导致用户信息泄露

QQ Mail曾经曝出相关漏洞,比如通过构造URL让用户访问,可以获得QQ Mail的邮件列表。该漏洞由于需要在Web QQ里共享QQ Mail里的邮件信息,因此QQ Mail开放了一个JSON接口以提供第三方的域名来获得QQ Mail的信息,但是由于该接口缺乏足够的认证,因此导致任何第三方域名都可以用Script的方式来获取该邮件列表。

尽量避免跨域的数据传输,对于同域的数据传输使用XMLHttp的方式作为数据获取方式,通过JavaScript在浏览器域里的安全性保护数据。如果是跨域的数据传输,必须对敏感的数据获取进行权限认证,例如对referer的来源进行限制、加入Token等。

7、源代码泄露

攻击者可利用程序扩展名解析缺陷,访问隐藏的文件,并获取源代码,或者通过程序BUG,直接返回源代码,获取重要数据,进而实施下一步攻击。因此,要合理设置服务器端各种文件的访问权限。

由于经常要对代码进行上线、备份、移动等操作,往往会疏忽文件管理而造成源码泄露,所以需要定期在Web能访问到的目录下警惕以下几类文件的出现,如出现,应及时删除,以防范源码泄露。

.git

.svn

.bak

.rar

.zip

.7z

.tar.gz

.swp

.txt

.html

cbcbbcd063d1094b5aa8c7d4b0b0a7d9.png

推荐阅读

bfd03d2508075d0cbcbd1d833ecd3893.png c458d9e154bff7a0d8b788853a630269.png

*PHP安全:组件漏洞防护

*PHP编码安全:请求伪造攻击

*PHP安全:文件包含安全

47e2af90ed04100f2bffb77678ab22c9.png

                                                                        1575e3b5d404dce3fa2fa1be90c3fc4e.gif

weixin_39747341
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
onekey_LAMP_source:centos7源码包安装lamp脚本-源码
03-24
本脚本适用于centos7系统,软件均采用二进制包编译安装,小内存主机安装时间可能接近1小时 原始包预设存放位置为/ usr / local / src / 软件默认安装位置为/ usr / local / 原始包下载速度取决于网络环境,源文件夹...
centos7源码安装php-7.4.19和常用扩展.txt
05-13
centos7源码安装php-7.4.19和常用扩展,centos7.8下测试通过。
centos7 访问php页面显示源码_php学习第一天
weixin_39752434的博客
11-12 673
PHP是Hypertext Preprocessor的缩写,(超文本预处理器)是一种在服务器端运行的开源的脚本语言。php是一门语言,用来做业务逻辑apache为PHP提供了运行环境linux为Apache的运行提供了平台mysql数据库用来存储数据PHP中的五个基本概念:静态页面和动态页面:静态页面:服务器不执行的页面。动态页面:服务器执行的页面客户端和服务器端:浏览者者端是客户端;服务器端:给...
centos7 访问php页面显示源码_Centos 7 部署nextcloud
weixin_39828847的博客
11-28 668
Nextcloud 简介:对于私人网盘,其中最出名的就是 seafile、owncloud和nextcloud。seafile是国人开发的,有免费和企业版,免费的功能有限;nextcloud是owncloud的一个分支,由原创始人团队维护,是在owncloud被别的公司收购后,由创始人团队创立的新分支。就像 mysql和mariadb。nextcloud完全开源,功能强大:能够自由更改主题,无限制...
CentOS 7安装并启动Google浏览器(★firecat亲测有效★)
热门推荐
$firecat利白的代码足迹$
09-23 2万+
1. 安装 考虑到国内无法访问Google,所以需要自己配置yum源,在目录 /etc/yum.repos.d/ 下新建google-chrome.repo文件, cd /ect/yum.repos.d/ vim google-chrome.repo 写入如下内容: [google-chrome] name=google-chrome baseurl=http://dl.google.......
CentOS7安装谷歌浏览器及解决google-chrome无法安装与启动问题
KEN Bolg
01-09 4487
安装相关的包: 解决方法: 1,对于 libappindicator3.so.1()(64bit) 被 google-chrome-stable-81.0.4044.138-1.x86_64 需要 执行 yum provides */libappindicator3.so.1 查看依赖包的来源,根据返回安装对应包。 2,对于liberation-fonts 被 google-chrome-stable-81.0.4044.138-1.x86_64 需要 yum -y install libe
关于Centos7中安装Google Chrome以及浏览器无法打开的解决办法
GoldBear98的博客
11-12 3469
问题: 可能是配置的问题,我的centos7虚拟机中自带的火狐浏览器无法正常使用,表现为双击Firefox图标后光标会变成旋转的圆环,一段时间后消失。如果虚拟机中的火狐浏览器用不了的话,那么许多操作都无法完成,下载一个能用的浏览器成为当务之急。 解决办法: 一开始,我以为是火狐浏览器的问题,于是我决定下载一个其他的浏览器,最终我选择了Google Chrome。我先去了解了第一次作业中安装Goog...
CIS_CentOS_Linux_7_Benchmark_v3.1.1.pdf
08-04
CIS_CentOS_Linux_7_Benchmark_v3.1.1.pdf
centos7_configuration_environment:centos7环境配置
04-06
centos7环境一键配置脚本 centos7_initialization.sh脚本包括 python3.6 python3.6下载编译安装 增加python2软链,修改python软链默认为python3 修改yum,urlgrabber-ext-down,firewall-cmd,firewalld依赖配置 Java ...
centos源码安装php-8.1.1+phpredis-4.2.0
04-28
CentOS 源码安装 PHP 8.1.1 + PHPRedis 4.2.0 在本文中,我们将详细介绍如何在 CentOS 操作系统上从源码安装 PHP 8.1.1 和 PHPRedis 4.2.0。 安装依赖项 在安装 PHP 之前,我们需要安装一些依赖项。使用以下命令...
查看centos 7里敏感信息的常用命令(未完)
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
07-26 1726
Windows系统 c:\boot.ini // 查看系统版本 c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件 c:\windows\repair\sam // 存储Windows系统初次安装的密码 c:\ProgramFiles\mysql\my.ini // MySQL配置 c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码 c:\windows\php.ini // php 配置信息
php复习题2
w646074554的专栏
11-26 1341
62. 如何设置一个cookie的名字为username,值为jack,并且让此cookie一周后失效?  一个浏览器最多可以产生多少个cookie,每个cookie文件最大不能超过多少?  setcookie(‘username’,’jack’,time()+7*24*3600);  最多可以产生20个cookie,每个最多不超过4K 63. 设置或读取session之前,需要做什么
linux centos7 安装php7.4 实测 遇到的坑
冰恋云的专栏
08-15 1259
目录 1、下载tar包 下载地址https://www.php.net/downloads 2.安装依赖 3.解压tar xvf php-7.4.22.tar.gz 出现 Thank you for using PHP 说明编译成功 4.安装 make && make install 添加环境变量 1、下载tar包 下载地址https://www.php.net/downloads 2.安装依赖 yum -y install gcc gcc-c++ libx...
PHP网站路径泄漏,网站异常页面导致服务器路径泄漏
weixin_42217306的博客
03-19 819
漏洞名称:网站异常页面导致服务器路径泄漏危险等级:★★★☆☆(中危)披露时间:未知漏洞描述:由于异常页面(如404、500或其他错误页面),在报错信息中包含了你的服务器上的物理路径。本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中),通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。解决方案:1、如果WEB应用程序...
Java使用Tomcat服务器打开jsp等文件出现源码的解决办法
m0_49945160的博客
10-02 1万+
问题详情 在最近的Servlet的学习中,我意外的发现以前写在webapp文件夹里的页面文件使用idea打开全部都有问题。 html文件 可以打开,但显示异常,大家可以看看有什么问题 导航栏显示如下:localhost:63352/web(项目名称)/src/main/webapp/a.html?(参数) 首先服务器使用的端口是随机生成的63352,并不是Tomcat的8080,另外我的html也不需要参数赋值 jsp文件 直接是以文件的形式打开,显示代码 导航栏显示如下:文件|D:/中间是文件的磁盘
centos7 nginx 访问php空白页面
最新发布
05-12
如果在 CentOS 7 上使用 Nginx 作为 Web 服务器,并且在访问 PHP 页面时出现空白页面,可能是 PHP-FPM 没有正常工作的原因。您可以按照以下步骤解决该问题: 1. 检查 PHP-FPM 是否正在运行。 ``` systemctl status...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值