php常见的网络攻击及防御方法

常见的Web攻击分为两类:一是利用Web服务器的漏洞进行攻击,如CGI缓冲区溢出,目录遍历漏洞利用等攻击;二是利用网页自身的安全漏洞进行攻击,如SQL注入,跨站脚本攻击等。下面这篇文章主要介绍了PHP安全防护之Web攻击,需要的朋友可以参考,下面来一起看看吧。

SQL注入攻击(SQL Injection)

攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。

常见的SQL注入式攻击过程类如

1.某个Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码;

2.登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数;

例如:

$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;

3.攻击者在用户名字和密码输入框中输入'或'1'='1之类的内容;

4.用户输入的内容提交给服务器之后,服务器运行上面的代码构造出查询用户的SQL命令,但由于攻击者输入的内容非常特殊,所以最后得到的SQL命令变成:

SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1';

5.服务器执行查询或存储过程,将用户输入的身份信息和服务器中保存的身份信息进行对比;

6.由于SQL命令实际上已被注入式攻击修改,已经不能真正验证用户身份,所以系统会错误地授权给攻击者。

如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询,他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能,欺骗系统授予访问权限。

系统环境不同,攻击者可能造成的损害也不同,这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限,攻击者就可能对数据库的表执行各种他想要做的操作,包括添加、删除或更新数据,甚至可能直接删除表

防范方法

  1. 检查变量数据类型和格式
  2. 过滤特殊符号
  3. 绑定变量,使用预编译语句

跨网站脚本攻击(Cross Site Scripting, XSS)

攻击者将恶意代码注入到网页上,其他用户在加载网页时就会执行代码,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。这些恶意代码通常是JavaScript、HTML以及其他客户端脚本语言。
例如:

<?phpecho "欢迎您,".$_GET['name'];

如果传入一段脚本

<script>[code]</script>

那么脚本也会执行。用这样的URL将会执行JavaScript的alert函数弹出一个对话框:

http://localhost/test.php?name=<script>alert(123456)</script>

常用的攻击手段有

盗用cookie,获取敏感信息;

利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作;

利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动;

在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果。

防范方法

使用htmlspecialchars函数将特殊字符转换成HTML编码,过滤输出的变量

跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)

攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。

它与XSS的攻击方法不同,XSS利用漏洞影响站点内的用户,攻击目标是同一站点内的用户者,而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。

例如

某个购物网站购买商品时,采用http://www.shop.com/buy.php?item=watch&num=100,item参数确定要购买什么物品,num参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接
,那么如果目标用户不小心访问以后,购买的数量就成了100个

防范方法

  1. 检查网页的来源
  2. 检查内置的隐藏变量
  3. 使用POST,不要使用GET,处理变量也不要直接使用$_REQUEST

Session固定攻击(Session Fixation)

这种攻击方式的核心要点就是让合法用户使用攻击者预先设定的session id来访问被攻击的应用程序,一旦用户的会话ID被成功固定,攻击者就可以通过此session id来冒充用户访问应用程序。

例如

  1. 攻击者访问网站http:///www.bank.com,获取他自己的session id,如:SID=123;
  2. 攻击者给目标用户发送链接,并带上自己的session id,如:http:///www.bank.com/?SID=123;
  3. 目标用户点击了http:///www.bank.com/?SID=123,像往常一样,输入自己的用户名、密码登录到网站;
  4. 由于服务器的session id不改变,现在攻击者点击http:///www.bank.com/?SID=123,他就拥有了目标用户的身份,可以为所欲为了。

防范方法

1.定期更改session id

session_regenerate_id(TRUE);//删除旧的session文件,每次都会产生一个新的session id。默认false,保留旧的session

2.更改session的名称

session的默认名称是PHPSESSID,此变量会保存在cookie中,如果攻击者不抓包分析,就不能猜到这个名称,阻挡部分攻击

session_name("mysessionid");

3.关闭透明化session id

透明化session id指当浏览器中的http请求没有使用cookie来制定session id时,sessioin id使用链接来传递

int_set("session.use_trans_sid", 0);

4.只从cookie检查session id

int_set("session.use_cookies", 1);//表示使用cookies存放session id
int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id

5.使用URL传递隐藏参数

$sid = md5(uniqid(rand()), TRUE));
$_SESSION["sid"] = $sid;//攻击者虽然能获取session数据,但是无法得知$sid的值,只要检查sid的值,就可以确认当前页面是否是web程序自己调用的

Session劫持攻击(Session Hijacking)

会话劫持是指攻击者利用各种手段来获取目标用户的session id。一旦获取到session id,那么攻击者可以利用目标用户的身份来登录网站,获取目标用户的操作权限。

攻击者获取目标用户session id的方法

  1. 暴力破解:尝试各种session id,直到破解为止;
  2. 计算:如果session id使用非随机的方式产生,那么就有可能计算出来;
  3. 窃取:使用网络截获,xss攻击等方法获得

防范方法

  1. 定期更改session id
  2. 更改session的名称
  3. 关闭透明化session id
  4. 设置HttpOnly。通过设置Cookie的HttpOnly为true,可以防止客户端脚本访问这个Cookie,从而有效的防止XSS攻击。

文件上传漏洞攻击(File Upload Attack)

文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。

常用的攻击手段有

  • 上传Web脚本代码,Web容器解释执行上传的恶意脚本;
  • 上传Flash跨域策略文件crossdomain.xml,修改访问权限(其他策略文件利用方式类似);
  • 上传病毒、木马文件,诱骗用户和管理员下载执行;
  • 上传包含脚本的图片,某些浏览器的低级版本会执行该脚本,用于钓鱼和欺诈。
  • 总的来说,利用的上传文件要么具备可执行能力(恶意代码),要么具备影响服务器行为的能力(配置文件)。

防范方法

  1. 文件上传的目录设置为不可执行;
  2. 判断文件类型,设置白名单。对于图片的处理,可以使用压缩函数或者resize函数,在处理图片的同时破坏图片中可能包含的HTML代码;
  3. 使用随机数改写文件名和文件路径:一个是上传后无法访问;再来就是像shell.php.rar.rar和crossdomain.xml这种文件,都将因为重命名而无法攻击;
  4. 单独设置文件服务器的域名:由于浏览器同源策略的关系,一系列客户端攻击将失效,比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。

以上就是php常见的网络攻击及防御方法的详细内容,更多关于php攻击及防御的资料请关注我们其它相关文章!

(0)

相关推荐

  • PHP代码加密和扩展解密实战

    这种方案是通过对代码进行加密,然后利用C语音写解密的PHP扩展.破解难度会有提升,但依然是会被破解的. 从网上找过各种代码加密的开源方案. 一旦开源,就不可能保证安全性.毕竟加密和解密的东西都是公开的. 目前我们没有能力自己去写扩展.还是需要采用开源的方案. 我找到的比较好用的是php-beast. https://github.com/liexusong/php-beast 实战开始 1.下载源码 wget https://github.com/liexusong/php-beast/arch

  • 详解各种PHP函数漏洞

    1.MD5 compare漏洞 PHP在处理哈希字符串时,会利用"!="或"=="来对哈希值进行比较,它把每一个以"0E"开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以"0E"开头的,那么PHP将会认为他们相同,都是0. 常见的payload有 0x01 md5(str) QNKCDZO 240610708 s878926199a s155964671a s214587387a s214587387

  • PHP7下安装并使用xhprof性能分析工具

    PHP7下安装并使用xhprof性能分析工具

    该 xhprof 版本是从 https://github.com/longxinH/xhprof 获取 安装 xhprof cd xhprof/extension/ phpize ./configure  make 然后在/etc/php.ini中根据情况加入 extension=xhprof.so 执行 php -m | grep xhprof 可以看见输出,说明php扩展安装成功,然后重启Apache或者php-fpm 运行 可以直接运行从github上clone下来的文件里面example

  • php-fpm报502问题的解决办法

    php-fpm报502问题的解决办法

    搭建lnmp完lnmp环境后,测试时出现502报错,看到这个问题,我立刻想到是php-fpm没有起来,但是我用 ps -ef | grep php-fpm 截取 php-fpm 的进程,发现是有的,这时我有查看nginx的错误日志,发现错误信息是: 2017/05/05 17:08:45 [crit] 3258#0: *2 connect() to unix:/tmp/php-cgi.sock failed (2: No such file or directory) while connect

  • 如何使用php生成zip压缩包

    压缩一个文件 我们将一个文件生成一个压缩包. <?php $path = "c:/wamp/www/log.txt"; $filename = "test.zip"; $zip = new ZipArchive(); $zip->open($filename,ZipArchive::CREATE); //打开压缩包 $zip->addFile($path,basename($path)); //向压缩包中添加文件 $zip->close();

  • 再谈PHP未来之路

    这门语言现在到底处于生命周期的哪个阶段?其定位到底是怎样的?诸如 PHP7.Swoole 的出现到底能给 PHP 带来怎样的变化? 当我们拿 PHP 和 java 进行比较的时候,我们往往就两门语言本身进行比较,如一个是弱类型一个是强类型,一个是数组打天下一个是各种数据结构,甚至连花括号是不是换行写都会被讨论一番.但它们真正的区别并非这些. 当我们谈论一门语言的时候,我们是在谈它的生态. "生态"一词在百度百科上的解释是:"生态一词,现在通常是指生物的生活状态.指生物在一定的

  • PHPStorm+Xdebug进行emote Debug时无法进入断点问题排查

    PHPStorm+Xdebug进行emote Debug时无法进入断点问题排查

    最近一直在研究Xdebug的用法,主要是因为Xdebug对PHP的开发效率提升确实很大,而却能帮我们解决很多问题.所以这里就总结下我在配置PHPStorm+Xdebug环境中遇到的坑,给遇到进不去断点的朋友一些排查的建议. 运行环境 PHP Version 7.1.22 Xdebug v2.6.0 PHP2016.2: 操作系统:MacOS 10.12.3 如果遇到无法进入断点的问题,可以按照以下的步骤进行排查 确认运行Web程序的PHP安装了Xdebug扩展 PHP永久了,难免会在电脑上多装几

  • PHP远程调用以及RPC框架

    PHP远程调用以及RPC框架

    前言 一个项目,从开始到版本更新,一直到最后的版本维护.功能在不断增多,对应的代码量也在不断增加,也就意味着项目变得更不可维护,这时候,我们需要用拆分的方式将一个项目打散,以便开发团队更好的对项目进行维护. 分模块 这个阶段,一般也是项目的初级阶段,由于人手不够,一个服务端的接口项目只有一个开发进行维护,根据开发的习惯,会把项目分成若干个模块进行开发,在一个项目下进行部署. 这样做的缺点在于项目会随着版本更新而变得不可维护. 分项目 随着每个模块功能的不断完善,代码变得更加臃肿.这时候需要对项目

  • 详解PHP使用非对称加密算法RSA

    详解PHP使用非对称加密算法RSA

    加密的类型 在日常设计及开发中,为确保数据传输和数据存储的安全,可通过特定的算法,将数据明文加密成复杂的密文.目前主流加密手段大致可分为单向加密和双向加密. 单向加密:通过对数据进行摘要计算生成密文,密文不可逆推还原.算法代表:Base64,MD5,SHA; 双向加密:与单向加密相反,可以把密文逆推还原成明文,双向加密又分为对称加密和非对称加密. 对称加密:指数据使用者必须拥有相同的密钥才可以进行加密解密,就像彼此约定的一串暗号.算法代表:DES,3DES,AES,IDEA,RC4,RC5; 非

  • PHP实现创建以太坊钱包转账等功能

    PHP实现创建以太坊钱包转账等功能

    1.Geth下载 (对以太坊了解不深的可以后面自己查找有关geth的资料,与此类似的客户端还有Ethereum.Parity .Mist),本文采用windows版(Windows系统:geth-windows-amd64-1.8.3) https://ethfans.org/wikis/Ethereum-Geth-Mirror 安装: windows版的直接傻瓜式安装到放软件的地方,然后打开安装根目录,这时可以看到有个geth.exe的可执行文件,先别急执行:先在该目录下创建一个piccgen

  • 如何使用SublimeText3配置 PHP IDE环境

    如何使用SublimeText3配置 PHP IDE环境

    首先是安装好PHP之后配置环境变量 然后在cmd中输入php -v 能看到版本号即为配置好了 之后在sublime中新建编译系统,输入代码 { "cmd": ["php", "$file"], "file_regex": "^(...*?):([0-9]*):?([0-9]*)", "selector": "source.php" } 然后保存在默认位置,改名字为ph

  • php中foreach遍历类对象的总结

    php中foreach遍历类对象的总结

    foreach 遍历数组很常见,同样foreach也可以遍历对象 做如下测试: class my { public $a = 'a'; protected $b = 'b'; private $c = 'c'; private $data = array('fantasy','windows','linux'); // 内部foreach遍历class function traversable() { foreach($this as $key=>$val) { echo $key.'=>';

随机推荐