浅谈PHP安全防护之Web攻击


Posted in PHP onJanuary 03, 2017

SQL注入攻击(SQL Injection)

攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。

常见的SQL注入式攻击过程类如:

1.某个Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码;

2.登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数;

例如:

$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;

3.攻击者在用户名字和密码输入框中输入'或'1'='1之类的内容;

4.用户输入的内容提交给服务器之后,服务器运行上面的代码构造出查询用户的SQL命令,但由于攻击者输入的内容非常特殊,所以最后得到的SQL命令变成:

SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1';

5.服务器执行查询或存储过程,将用户输入的身份信息和服务器中保存的身份信息进行对比;

6.由于SQL命令实际上已被注入式攻击修改,已经不能真正验证用户身份,所以系统会错误地授权给攻击者。

如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询,他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能,欺骗系统授予访问权限。

系统环境不同,攻击者可能造成的损害也不同,这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限,攻击者就可能对数据库的表执行各种他想要做的操作,包括添加、删除或更新数据,甚至可能直接删除表

防范方法:

      1.检查变量数据类型和格式

      2.过滤特殊符号

      3.绑定变量,使用预编译语句

跨网站脚本攻击(Cross Site Scripting, XSS)

攻击者将恶意代码注入到网页上,其他用户在加载网页时就会执行代码,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。这些恶意代码通常是JavaScript、HTML以及其他客户端脚本语言。
例如:

<?php
echo "欢迎您,".$_GET['name'];

如果传入一段脚本<script>[code]</script> ,那么脚本也会执行。用这样的URL将会执行JavaScript的alert函数弹出一个对话框:http://localhost/test.php?name=<script>alert(123456)</script>

常用的攻击手段有:

盗用cookie,获取敏感信息;

利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作;

利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动;

在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果。

防范方法:使用htmlspecialchars函数将特殊字符转换成HTML编码,过滤输出的变量

跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)

攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。

它与XSS的攻击方法不同,XSS利用漏洞影响站点内的用户,攻击目标是同一站点内的用户者,而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。

例如:

某个购物网站购买商品时,采用http://www.shop.com/buy.php?item=watch&num=100,item参数确定要购买什么物品,num参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接
,那么如果目标用户不小心访问以后,购买的数量就成了100个

防范方法:

      1、检查网页的来源

      2、检查内置的隐藏变量

      3、使用POST,不要使用GET,处理变量也不要直接使用$_REQUEST

Session固定攻击(Session Fixation)

这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session id来访问被攻击的应用程序,一旦用户的会话ID被成功固定,攻击者就可以通过此session id来冒充用户访问应用程序。

例如:

1.攻击者访问网站http:///www.bank.com,获取他自己的session id,如:SID=123;

2.攻击者给目标用户发送链接,并带上自己的session id,如:http:///www.bank.com/?SID=123;

3.目标用户点击了http:///www.bank.com/?SID=123,像往常一样,输入自己的用户名、密码登录到网站;

4.由于服务器的session id不改变,现在攻击者点击http:///www.bank.com/?SID=123,他就拥有了目标用户的身份,可以为所欲为了。

防范方法:

1.定期更改session id

session_regenerate_id(TRUE);//删除旧的session文件,每次都会产生一个新的session id。默认false,保留旧的session

2.更改session的名称

session的默认名称是PHPSESSID,此变量会保存在cookie中,如果攻击者不抓包分析,就不能猜到这个名称,阻挡部分攻击

session_name("mysessionid");

3.关闭透明化session id

透明化session id指当浏览器中的http请求没有使用cookie来制定session id时,sessioin id使用链接来传递

int_set("session.use_trans_sid", 0);

4.只从cookie检查session id

int_set("session.use_cookies", 1);//表示使用cookies存放session id
int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id

5.使用URL传递隐藏参数

$sid = md5(uniqid(rand()), TRUE));
$_SESSION["sid"] = $sid;//攻击者虽然能获取session数据,但是无法得知$sid的值,只要检查sid的值,就可以确认当前页面是否是web程序自己调用的

Session劫持攻击(Session Hijacking)

会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id,那么攻击者可以利用目标用户的身份来登录网站,获取目标用户的操作权限。

攻击者获取目标用户session id的方法:

1.暴力破解:尝试各种session id,直到破解为止;

2.计算:如果session id使用非随机的方式产生,那么就有可能计算出来;

3.窃取:使用网络截获,xss攻击等方法获得

防范方法:

      1.定期更改session id

      2.更改session的名称

      3.关闭透明化session id

      4.设置HttpOnly。通过设置Cookie的HttpOnly为true,可以防止客户端脚本访问这个Cookie,从而有效的防止XSS攻击。

文件上传漏洞攻击(File Upload Attack)

文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。

常用的攻击手段有:

上传Web脚本代码,Web容器解释执行上传的恶意脚本;

上传Flash跨域策略文件crossdomain.xml,修改访问权限(其他策略文件利用方式类似);

上传病毒、木马文件,诱骗用户和管理员下载执行;

上传包含脚本的图片,某些浏览器的低级版本会执行该脚本,用于钓鱼和欺诈。

总的来说,利用的上传文件要么具备可执行能力(恶意代码),要么具备影响服务器行为的能力(配置文件)。

防范方法:

      1.文件上传的目录设置为不可执行;

      2.判断文件类型,设置白名单。对于图片的处理,可以使用压缩函数或者resize函数,在处理图片的同时破坏图片中可能包含的HTML代码;

      3.使用随机数改写文件名和文件路径:一个是上传后无法访问;再来就是像shell.php.rar.rar和crossdomain.xml这种文件,都将因为重命名而无法攻击;

      4.单独设置文件服务器的域名:由于浏览器同源策略的关系,一系列客户端攻击将失效,比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。

参考资料:

http://os.51cto.com/art/201204/328938.htm

https://www.zhihu.com/question/22953267

http://wt7315.blog.51cto.com/10319657/1865580

http://www.plhwin.com/2014/06/13/web-security-sql/

总结

以上就是关于PHP安全防护之Web攻击的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流。

PHP 相关文章推荐
收藏的一个php小偷的核心程序
Apr 09 PHP
PHP XML数据解析代码
May 26 PHP
PHP中获取文件扩展名的N种方法小结
Feb 27 PHP
Memcached常用命令以及使用说明详解
Jun 27 PHP
怎样使用php与jquery设置和读取cookies
Aug 08 PHP
CodeIgniter实现更改view文件夹路径的方法
Jul 04 PHP
编写PHP脚本使WordPress的主题支持Widget侧边栏
Dec 14 PHP
php基于Fleaphp框架实现cvs数据导入MySQL的方法
Feb 23 PHP
thinkphp5修改view到根目录实例方法
Jul 02 PHP
laravel 解决crontab不执行的问题
Oct 22 PHP
Thinkphp 框架扩展之标签库驱动原理与用法分析
Apr 23 PHP
php解析非标准json、非规范json的方式实例
Dec 10 PHP
php中遍历二维数组并以表格的形式输出的方法
Jan 03 #PHP
解析PHP之提取多维数组指定列的方法
Jan 03 #PHP
PHP实现RTX发送消息提醒的实例代码
Jan 03 #PHP
php cookie用户登录的详解及实例代码
Jan 03 #PHP
详解PHP安装mysql.so扩展的方法
Dec 31 #PHP
php 从一个数组中随机的取出若干个不同的数实例
Dec 31 #PHP
PHP文件操作详解
Dec 30 #PHP
You might like
如何在PHP中进行身份认证
2006/10/09 PHP
linux下为php添加iconv模块的方法
2016/02/28 PHP
一个挺有意思的Javascript小问题说明
2011/09/26 Javascript
javascript实现二级级联菜单的简单制作
2015/11/19 Javascript
详解iframe与frame的区别
2016/01/13 Javascript
js流动式效果显示当前系统时间
2016/05/16 Javascript
手机端图片缩放旋转全屏查看PhotoSwipe.js插件实现
2016/08/25 Javascript
jQuery实现的放大镜效果示例
2016/09/13 Javascript
vue中mint-ui环境搭建详细介绍
2017/04/06 Javascript
jQuery+SpringMVC中的复选框选择与传值实例
2018/01/08 jQuery
Vue Promise的axios请求封装详解
2018/08/13 Javascript
bootstrap datepicker的基本使用教程
2019/07/09 Javascript
LayUI动态设置checkbox不显示的解决方法
2019/09/02 Javascript
基于JS判断对象是否是数组
2020/01/10 Javascript
uniapp,微信小程序中使用 MQTT的问题
2020/07/11 Javascript
[02:10]DOTA2亚洲邀请赛 EG战队出场宣传片
2015/02/07 DOTA
Python实现的手机号归属地相关信息查询功能示例
2017/06/08 Python
Python基于OpenCV实现人脸检测并保存
2019/07/23 Python
python 通过视频url获取视频的宽高方式
2019/12/10 Python
通过 Python 和 OpenCV 实现目标数量监控
2020/01/05 Python
使用tensorflow显示pb模型的所有网络结点方式
2020/01/23 Python
TensorFlow梯度求解tf.gradients实例
2020/02/04 Python
python读取csv文件指定行的2种方法详解
2020/02/13 Python
Django mysqlclient安装和使用详解
2020/09/17 Python
详解canvas绘图时遇到的跨域问题
2018/03/22 HTML / CSS
英国信箱在线鲜花速递公司:Bloom & Wild
2019/03/10 全球购物
婚前协议书怎么写
2014/04/15 职场文书
小学生演讲稿大全
2014/04/25 职场文书
运动会加油口号
2014/06/07 职场文书
12.4法制宣传日活动总结
2014/08/26 职场文书
小学数学新课改心得体会
2016/01/22 职场文书
导游词之四川熊猫基地
2020/01/13 职场文书
Nginx 502 Bad Gateway错误原因及解决方案
2021/03/31 Servers
CSS3 制作的彩虹按钮样式
2021/04/11 HTML / CSS
如何用JavaScript检测当前浏览器是无头浏览器
2021/04/27 Javascript
Redis基于Bitmap实现用户签到功能
2021/06/20 Redis