php開發面試題---攻擊網站的常用手段有哪些,及如何預防(整理)
一、總結
一句話總結:
比較記憶:注意比較各種攻擊的區別,比如csrf和xss,以及xss和sql,這樣才能記住
1、Sql注入是什么?
執行sql操作的時候:用戶的輸入語句中包含sql或sql部分
依賴用戶輸入做sql查詢的位置可能被用戶輸入sql語句:比如用戶查詢的關鍵字輸入框
2、sql注入實例?
攻擊者評論文章,評論里面是刪除整個數據庫的sql語句
在用戶名框輸入’or’=’or’或 ‘or 1=’1 然后sql如下:$sql =”select * from phpben where user_name=’ ‘or 1=’1′ and pwd =” “;
//正常語句 $sql =”select * from phpben where user_name=’admin’ and pwd =’123′”; //在用戶名框輸入’or’=’or’或 ‘or 1=’1 然后sql如下 $sql =”select * from phpben where user_name=’ ‘or’=’or” and pwd =” “; $sql =”select * from phpben where user_name=’ ‘or 1=’1′ and pwd =” “;
3、Sql注入如何防范?
1、對存入數據可的字段進行轉義:比如addslashes 和stripslashes
2、對用戶的查詢進行過濾或轉義:過濾掉數據庫查詢語句,或者轉義
攻擊者評論文章,評論里面是刪除整個數據庫的sql語句 在用戶名框輸入’or’=’or’或 ‘or 1=’1 然后sql如下:$sql =”select * from phpben where user_name=’ ‘or 1=’1′ and pwd =” “;
4、Xss攻擊的中英文名叫什么?
cross site script:跨站腳本,為什么不叫css,為了不和div+css混淆。
跨站腳本
5、跨站腳本攻擊實例?
攻擊者評論某文章,評論的內容里面包含讓用戶跳轉到某個網站的php代碼,所有打開這篇文章的人都會跳轉到這個網站
6、Sql注入和Xss攻擊的區別是什么?
Xss攻擊是腳本,就是會在頁面執行的那種,比如php,js
sql注入攻擊是將sql語句注入到數據庫
7、Sql注入和Xss攻擊的實例?
Sql注入:攻擊者評論文章,評論里面是刪除整個數據庫的sql語句
Xss攻擊:攻擊者評論某文章,評論的內容里面包含讓用戶跳轉到某個網站的php代碼,所有打開這篇文章的人都會跳轉到這個網站
8、xss攻擊如何防范?
原理:防xss方法其實和防注入很相似,都是一些過濾、代替、實體化等方法
防php:過濾或移除特殊的Html標簽:例如:< 、>、<,、> ‘、”、<script>、 <iframe> 、<,、>、”
防js:過濾觸發JavaScript 事件的標簽。例如 onload、onclick、onfocus、onblur、onmouseover等等。
9、CSRF攻擊的英文名是什么?
cross site request forgery:跨站請求偽造
10、CSRF攻擊和Xss攻擊的區別是什么?
用腦子:看名字就知道了:CSRF攻擊和Xss攻擊,前面的cs=xs,區別就是在rf和s上
CSRF攻擊:偽造請求:request forgery:cross site request forgery
Xss攻擊:腳本:script:cross site script
11、CSRF攻擊攻擊實例?
淘寶沒退出被利用:我登錄淘寶並且沒有退出,又登錄了不良網站,不良網站用淘寶的session和cookie做買東西的操作
12、CSRF防范方法?
敏感操作本站請求才能做:比如修改密碼
本站有外鏈的話做些必要操作:安全的外鏈網站可以不必處理:如當你點擊QQ郵件里面的長外鏈時候,回跳轉到一個頁面提示“有風險”之類
敏感操作本站請求才能做:嚴密操控執行入口:執行一些敏感操作比如改密碼這些操作前判斷請求來源,只有本站服務器發的請求才可以執行。判斷方法可以判斷ip來源。非本站服務器ip不會執行。
本站有外鏈的話做些必要操作:安全的外鏈網站可以不必處理:如當你點擊QQ郵件里面的長外鏈時候,回跳轉到一個頁面提示“有風險”之類,這樣不僅可以減低跳出率,一些不懂的人看到這樣的提示,若不是非必要而是處於好奇點擊的連接一般不會繼續點擊訪問;還有是QQ郵件正文里的圖片在加載內容時是不加載圖片的,要點擊“顯示圖片”按鈕才顯示圖片,這里一個原因之一就是避免攻擊。
13、CC攻擊是什么?
CC(ChallengeCollapsar)
攻擊者借助代理服務器生成指向受害主機的合法請求,實現DDOS和偽裝就叫:CC(ChallengeCollapsar)。
CC主要是用來攻擊頁面的。大家都有這樣的經歷,就是在訪問論壇時,如果這個論壇比較大,訪問的人比較多,打開頁面的速度會比較慢,訪問的人越多,論壇的頁面越多,數據庫壓力就越大,被訪問的頻率也越高,占用的系統資源也就相當可觀。
14、cc攻擊的原理是什么?
模擬多個用戶:(多少線程就是多少用戶)不停的進行訪問(訪問那些需要大量數據操作,就是需要大量CPU時間的頁面)
動態資源需要訪問數據庫,消耗內存和cpu:如果數據庫的數據容量有200MB大小,系統很可能就要在這200MB大小的數據空間搜索一遍,這需要多少的CPU資源和時間
本質:造成服務器較高的內存和cpu消耗:這樣服務器就變慢了
一個靜態頁面不需要服務器多少資源,甚至可以說直接從內存中讀出來發給你就可以了,但是論壇就不一樣了,我看一個帖子,系統需要到數據庫中判斷我是否有讀帖子的權限,如果有,就讀出帖子里面的內容,顯示出來——這里至少訪問了2次數據庫,如果數據庫的數據容量有200MB大小,系統很可能就要在這200MB大小的數據空間搜索一遍,這需要多少的CPU資源和時間?如果我是查找一個關鍵字,那么時間更加可觀,因為前面的搜索可以限定在一個很小的范圍內,比如用戶權限只查用戶表,帖子內容只查帖子表,而且查到就可以馬上停止查詢,而搜索肯定會對所有的數據進行一次判斷,消耗的時間是相當的大。
CC就是充分利用了這個特點,模擬多個用戶(多少線程就是多少用戶)不停的進行訪問(訪問那些需要大量數據操作,就是需要大量CPU時間的頁面).這一點用一個一般的性能測試軟件就可以做到大量模擬用戶並發。
15、如何防止盜鏈(代碼)?
方法:在Apache htaccess添加相關代碼:判斷ip,只有本站服務器才能使用站點資源,否則不能使用。
盜鏈問題增加服務器的負擔。盜鏈就是盜鏈網站盜取被盜鏈網站資源來實現一些功能。盜鏈方面主要是圖片、視頻、以及其他資源下載文件。
代碼:
(1)在Apache htaccess添加
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$ [NC]
RewriteCond %{HTTP_REFERER} !phpben.com [NC]
RewriteCond %{HTTP_REFERER} !google.com [NC]
RewriteCond %{HTTP_REFERER} !baidu.com [NC]
RewriteCond %{HTTP_REFERER} !zhuaxia.com [NC]
RewriteRule .(jpg|gif|png|bmp|swf|jpeg) /image/replace.gif [R,NC,L]
RewriteRule ^(.*)$ http:\/\/phpben.com\/image\/$1 [L]
這樣,凡是不是phpben.com google.com baidu.com zhuaxia.com 域名請求的都返回replace.gif代替返回
二、PHP開發中常見的安全問題詳解和解決方法
轉自或參考:PHP開發中常見的安全問題詳解和解決方法
https://www.cnblogs.com/walblog/articles/8331399.html
這篇文章主要介紹了PHP開發中常見的安全問題詳解和解決方法,詳細介紹了例如:Sql注入、CSRF、Xss、CC等攻擊手段的背景知識以及解決方法,需要的朋友可以參考下。
淺談Php安全和防Sql注入,防止Xss攻擊,防盜鏈,防CSRF
前言:
首先,筆者不是web安全的專家,所以這不是web安全方面專家級文章,而是學習筆記、細心總結文章,里面有些是我們phper不易發現或者說不重視的東西。所以筆者寫下來方便以后查閱。在大公司肯定有專門的web安全測試員,安全方面不是phper考慮的范圍。但是作為一個phper對於安全知識是:“知道有這么一回事,編程時自然有所注意”。
目錄:
1、php一些安全配置
(1)關閉php提示錯誤功能
(2)關閉一些“壞功能”
(3)嚴格配置文件權限。
2、嚴格的數據驗證,你的用戶不全是“好”人
2.1為了確保程序的安全性,健壯性,數據驗證應該包括內容。
2.2程序員容易漏掉point或者說需要注意的事項
3、防注入
3.1簡單判斷是否有注入漏洞以及原理
3.2常見的mysql注入語句
(1)不用用戶名和密碼
(2)在不輸入密碼的情況下,利用某用戶
(3)猜解某用戶密碼
(4)插入數據時提權
(5)更新提權和插入提權同理
(6)惡意更新和刪除
(7)union、join等
(8)通配符號%、_
(9)還有很多猜測表信息的注入sql
33防注入的一些方法
2.3.1 php可用於防注入的一些函數和注意事項。
2.3.2防注入字符優先級。
2.3.3防注入代碼
(1)參數是數字直接用intval()函數
(2)對於非文本參數的過濾
(3)文本數據防注入代碼。
(4)當然還有其他與addslashes、mysql_escape_string結合的代碼。
4、防止xss攻擊
4.1Xss攻擊過程
4.2常見xss攻擊地方
4.3防XSS方法
5、CSRF
5.1簡單說明CSRF原理
5.2防范方法
6、防盜鏈
7、防拒CC攻擊
1、php一些安全配置
(1)關閉php提示錯誤功能
在php.ini 中把display_errors改成
1 display_errors = OFF
或在php文件前加入
1 error_reporting(0)
1) 使用error_reporting(0);失敗的例子:
A文件代碼:
1 <? 2 error_reporting(0); 3 echo 555 4 echo 444; 5 ?>
錯誤:
1 Parse error: parse error, expecting `’,” or `';” in E:\webphp\2.php on line 4
2)使用error_reporting(0);成功的例子:
a文件代碼:
1 <?php 2 error_reporting(0); 3 include(“b.php”); 4 ?>
b文件代碼:
1 <?php 2 echo 555 3 echo 444; 4 ?>
這是很多phper說用error_reporting(0)不起作用。第一個例子A.php里面有致命錯誤,導致不能執行,不能執行服務器則不知有這個功能,所以一樣報錯。
第二個例子中a.php成功執行,那么服務器知道有抑制錯誤功能,所以就算b.php有錯誤也抑制了。
ps:抑制不了mysql錯誤。
(2)關閉一些“壞功能”
1)關閉magic quotes功能
在php.ini 把magic_quotes_gpc = OFF
避免和addslashes等重復轉義
2)關閉register_globals = Off
在php.ini 把register_globals = OFF
在register_globals = ON的情況下
地址欄目:http://www.jb51.net?bloger=benwin
1 <?php 2 //$bloger = $_GET[‘bloger’] //因為register_globals = ON 所以這步不用了直接可以用$bloger 3 echo $bloger; 4 ?>
這種情況下會導致一些未初始化的變量很容易被修改,這也許是致命的。所以把register_globals = OFF關掉
(3)嚴格配置文件權限。
為相應文件夾分配權限,比如包含上傳圖片的文件不能有執行權限,只能讀取
2、嚴格的數據驗證,你的用戶不全是“好”人。
記得筆者和一個朋友在討論數據驗證的時候,他說了一句話:你不要把你用戶個個都想得那么壞!但筆者想說的這個問題不該出現在我們開發情景中,我們要做的是嚴格驗證控制數據流,哪怕10000萬用戶中有一個是壞用戶也足以致命,再說好的用戶也有時在數據input框無意輸入中文的時,他已經不經意變“壞”了。
2.1為了確保程序的安全性,健壯性,數據驗證應該包括
(1) 關鍵數據是否存在。如刪除數據id是否存在
(2) 數據類型是否正確。如刪除數據id是否是整數
(3) 數據長度。如字段是char(10)類型則要strlen判斷數據長度
(4) 數據是否有危險字符
數據驗證有些人主張是把功能完成后再慢慢去寫安全驗證,也有些是邊開發邊寫驗證。筆者偏向后者,這兩種筆者都試過,然后發現后者寫的驗證相對健壯些,主要原因是剛開發時想到的安全問題比較齊全,等開發完功能再寫時有兩個問題,一個phper急於完成指標草草完事,二是確實漏掉某些point。
2.2程序員容易漏掉point或者說需要注意的事項:
(1) 進庫數據一定要安全驗證,筆者在廣州某家公司參與一個公司內部系統開發的時候,見過直接把$_POST數據傳給類函數classFunctionName($_POST),理由竟然是公司內部使用的,不用那么嚴格。暫且不說邏輯操作與數據操控耦合高低問題,連判斷都沒判斷的操作是致命的。安全驗證必須,沒任何理由推脫。
(2) 數據長度問題,如數據庫建表字段char(25),大多phper考慮到是否為空、數據類型是否正確,卻忽略字符長度,忽略還好更多是懶於再去判斷長度。(這個更多出現在新手當中,筆者曾經也有這樣的思想)
(3) 以為前端用js判斷驗證過了,后台不需要判斷驗證。這也是致命,要知道偽造一個表單就幾分鍾的事,js判斷只是為了減少用戶提交次數從而提高用戶體驗、減少http請求減少服務器壓力,在安全情況下不能防“小人”,當然如果合法用戶在js驗證控制下是完美的,但作為phper我們不能只有js驗證而拋棄再一次安全驗證。
(4) 缺少對表單某些屬性比如select、checkbox、radio、button等的驗證,這些屬性在web頁面上開發者已經設置定其值和值域(白名單值),這些屬性值在js驗證方面一般不會驗證,因為合法用戶只有選擇權沒修改權,然后phper就在后端接受數據處理驗證數據的時候不會驗證這些數據,這是一個慣性思維,安全問題也就有了,小人一個偽表單。
(5) 表單相應元素name和數據表的字段名一致,如用戶表用戶名的字段是user_name,然后表單中的用戶名輸入框也是user_name,這和暴庫沒什么區別。
(6) 過濾危險字符方面如防注入下面會獨立講解。
3、防注入
3.1簡單判斷是否有注入漏洞以及原理。
網址:http://www.jb51.net/benwin.php?id=1 運行正常,sql語句如:select * from phpben where id = 1
(1) 網址:http://www.jb51.net/benwin.php?id=1′ sql語句如:select * from phpben where id = 1′ 然后運行異常 這能說明benwin.php文件沒有對id的值進行“’” 過濾和intval()整形轉換,當然想知道有沒有對其他字符如“%”,“/*”等都可以用類似的方法窮舉測試(很多測試軟件使用)
(2)網址:http://www.jb51.net/benwin.php?id=1 and 1=1 則sql語句可能是 select * from phpben where id = 1 and 1=1,運行正常且結果和http://www.jb51.net/benwin.php?id=1結果一樣,則說明benwin.php可能沒有對空格“ ”、和“and”過濾(這里是可能,所以要看下一點)
(3)網址:http://www.jb51.net/benwin.php?id=1 and 1=2則sql語句可能是 select * from phpben where id = 1 and 1=2 如果運行結果異常說明sql語句中“and 1=2”起作用,所以能3個條件都滿足都則很確定的benwin.php存在注入漏洞。
ps:這里用get方法驗證,post也可以,只要把值按上面的輸入,可以一一驗證。
3.2常見的mysql注入語句。
(1)不用用戶名和密碼
1 //正常語句 2 $sql =”select * from phpben where user_name=’admin’ and pwd =’123′”; 3 //在用戶名框輸入’or’=’or’或 ‘or 1=’1 然后sql如下 4 $sql =”select * from phpben where user_name=’ ‘or’=’or” and pwd =” “; 5 $sql =”select * from phpben where user_name=’ ‘or 1=’1′ and pwd =” “;
這樣不用輸入密碼。話說筆者見到登錄框都有嘗試的沖動。
(2)在不輸入密碼的情況下,利用某用戶。
1 //正常語句 2 $sql =”select * from phpben where user_name=’$username’ and pwd =’$pwd'”; 3 //利用的用戶名是benwin 則用戶名框輸入benwin’# 密碼有無都可,則$sql變成 4 $sql =”select * from phpben where user_name=’ benwin’#’ and pwd =’$pwd'”;
這是因為mysql中其中的一個注悉是“#”,上面語句中#已經把后面的內容給注悉掉,所以密碼可以不輸入或任意輸入。網上有些人介紹說用“/*”來注悉,筆者想提的是只有開始注悉沒結束注悉“*/”時,mysql會報錯,也不是說“/**/”不能注悉,而是這里很難添加上“*/”來結束注悉,還有“– ”也是可以注悉mysql 但要注意“–”后至少有一個空格也就是“– ”,當然防注入代碼要把三種都考慮進來,值得一提的是很多防注入代碼中沒把“– ”考慮進防注入范圍。
(3)猜解某用戶密碼
1 //正常語句 2 $sql =”select * from phpben.com where user_name=’$username’ and pwd =’$pwd'”; 3 //在密碼輸入框中輸入“benwin’ and left(pwd,1)=’p’#”,則$sql是 4 $sql =”select * from phpben.com where user_name=’ benwin’ and left(pwd,1)=’p’#’ and pwd =’$pwd'”;
如果運行正常則密碼的密碼第一個字符是p,同理猜解剩下字符。
(4)插入數據時提權
1 //正常語句,等級為1 2 $sql = “insert into phpben.com (`user_name`,`pwd`,`level`) values(‘benwin’,’iampwd’,1) “; 3 //通過修改密碼字符串把語句變成 4 $sql = “insert into phpben.com (`user_name`,`pwd`,`level`) values(‘benwin’,’iampwd’,5)#’,1) “; 5 $sql = “insert into phpben.com (`user_name`,`pwd`,`level`) values(‘benwin’,’iampwd’,5)– ‘,1) “;這樣就把一個權限為1的用戶提權到等級5
(5)更新提權和插入提權同理
1 //正常語句 2 $sql = “update phpben set `user_name` =’benwin’, level=1″; 3 //通過輸入用戶名值最終得到的$sql 4 $sql = “update phpben set `user_name` =’benwin’,level=5#’, level=1″; 5 $sql = “update phpben set `user_name` =’benwin’,level=5– ‘, level=1″;
(6)惡意更新和刪除
1 //正常語句 2 $sql = “update phpben set `user_name` = ‘benwin’ where id =1″; 3 //注入后,惡意代碼是“1 or id>0” 4 $sql = “update phpben set `user_name` = ‘benwin’ where id =1 or id>0″; 5 //正常語句 6 $sql = “update phpben set `user_name` =’benwin’ where id=1″; 7 //注入后 8 $sql = “update phpben set `user_name` =’benwin’ where id>0#’ where id=1″; 9 $sql = “update phpben set `user_name` =’benwin’ where id>0– ‘ where id=1″;
(7)union、join等
1 //正常語句 2 $sql =”select * from phpben1 where `user_name`=’benwin’ “; 3 //注入后 4 $sql =”select * from phpben1 where`user_name`=’benwin’ uninon select * from phpben2#’ “; 5 $sql =”select * from phpben1 where`user_name`=’benwin’ left join……#’ “;
(8)通配符號%、_
1 //正常語句 2 $sql =”select * from phpben where `user_name`=’benwin’ “; 3 //注入通配符號%匹配多個字符,而一個_匹配一個字符,如__則匹配兩個字符 4 $sql =”select * from phpben where `user_name` like ‘%b’ “; 5 $sql =”select * from phpben where `user_name` like ‘_b_’ “;
這樣只要有一個用戶名字是b開頭的都能正常運行,“ _b_”是匹配三個字符,且這三個字符中間一個字符時b。這也是為什么有關addslashes()函數介紹時提示注意沒有轉義%和_(其實這個是很多phper不知問什么要過濾%和_下划線,只是一味的跟着網上代碼走)
(9)還有很多猜測表信息的注入sql
1 //正常語句 2 $sql =”select * from phpben1 where`user_name`=’benwin'”; 3 //猜表名,運行正常則說明存在phpben2表 4 $sql =”select * from phpben1 where`user_name`=’benwin’ and (select count(*) from phpben2 )>0#’ “; 5 //猜表字段,運行正常則說明phpben2表中有字段colum1 6 $sql =”select * from phpben1 where`user_name`=’benwin’ and (select count(colum1) from phpben2 )>0#'”; 7 //猜字段值 8 $sql =”select * from phpben1 where`user_name`=’benwin’ and left(pwd,1)=’p’#””;
當然還有很多,筆者也沒研究到專業人士那種水平,這里提出這些都是比較常見的,也是phper應該知道並掌握的,而不是一味的在網上復制粘貼一些防注入代碼,知然而不解其然。
下面一些防注入方法回看可能更容易理解。
3.3防注入的一些方法
3.3.1 php可用於防注入的一些函數和注意事項。
(1)addslashes 和stripslashes。
Addslashes給這些 “’”、“””、“\”,“NULL” 添加斜桿“\’”、“\””、“\\”,“\NULL”, stripslashes則相反,這里要注意的是php.ini是否開啟了magic_quotes_gpc=ON,開啟若使用addslashes會出現重復。所以使用的時候要先get_magic_quotes_gpc()檢查
一般代碼類似:
1 if(!get_magic_quotes_gpc()) 2 { 3 $abc = addslashes($abc); 4 }
其實這個稍微學習php一下的人都知道了,只不過筆者想系統點介紹(前面都說不是專家級文章),所以也順便寫上了。addslashes
(2)mysql_escape_string()和mysql_ real _escape_string()
mysql_real_escape_string 必須在(PHP 4 >= 4.3.0, PHP 5)的情況下才能使用。否則只能用 mysql_escape_string
1 if (PHP_VERSION >= ‘4.3’) 2 { 3 $string = mysql_real_escape_string($string); 4 }else 5 { 6 $string = mysql_escape_string($string ); 7 }
mysql_escape_string()和mysql_ real _escape_string()卻別在於后者會判斷當前數據庫連接字符集,換句話說在沒有連接數據庫的前提下會出現類似錯誤:
1 Warning: mysql_real_escape_string() [function.mysql-real-escape-string]: Access denied for user ‘ODBC’@’localhost’ (using password: NO) in E:\webphp\test.php on line 11
(3)字符代替函數和匹配函數
str_replace() 、perg_replace()這些函數之所以也在這里提是因為這些函數可以用於過濾或替代一些敏感、致命的字符。
3.3.2防注入字符優先級。
防注入則要先知道有哪些注入字符或關鍵字,常見的mysql注入字符有字符界定符號如“’”、“””;邏輯關鍵字如“and”、“or”;mysql注悉字符如“#”,“– ”,“/**/”;mysql通配符“%”,“_”;mysql關鍵字“select|insert|update|delete|*|union|join|into|load_file|outfile”
(1)對於一些有規定格式的參數來說,防注入優先級最高的是空格” ”。
如一些銀行卡號,身份證號,郵箱,電話號碼,,生日,郵政編碼等這些有自己規定的格式且格式規定不能有空格符號的參數,在過濾的時候一般最先過濾掉空格(包括一些空格“變種”),因為其他字符界定符號,邏輯關鍵字,mysql注悉,注意下圖可以看出重要的是“’”,“ ”
ps:空格字符的變種有:“%20”,“\n”,“\r”,“\r\n”,“\n\r”,“chr(“32″)” 這也是為什么mysql_escape_string()和mysql_real_escape_string() 兩個函數轉義“\n”,“\r”。其實很多phper只知道轉義\n,\r而不知原因,在mysql解析\n,\r時把它們當成空格處理,筆者測試驗證過,這里就不貼代碼了。
(2)“and”,“or”,“\”,“#”,“– ”
邏輯關鍵可以組合很多注入代碼;mysql注悉則把固有sql代碼后面的字符全部給注悉掉從而讓注入后的sql語句能正常運行;“\”也是能組合很多注入字符\x00,\x1a。
ps:sql解析“#”,“– ”是大多數mysql防注入代碼沒有考慮到的,也是很多phper忽略。還有因為一些phper給參數賦值的時候會有用“-”來隔開,所以筆者建議不要這樣寫參數,當然也可以再過濾參數的時候“– ”(注意有空格的,沒空格不解析為注悉)當一個整體過濾而不是過濾“-” ,這樣就避免過多過濾參數。
(3)“null”,“%”,“_”
這幾個不能獨立,都不要在特定情況下,比如通配字符“%,_”都要在mysql like子句的前提下。所以“%”,“_”的過濾一般在搜索相關才過濾,不能把它們納入通常過濾隊列,因為有些如郵箱就可以有”_”字符
(4)關鍵字“select|insert|update|delete|*|union|join|into|load_file|outfile”
也許你會問怎么這些重要關鍵字卻優先級這么低。筆者想說的是因為這些關鍵字在沒有“’”,“””,“ ”,“and”,“or”等情況下購不成傷害。換句話說這些關鍵字不夠“獨立”,“依賴性”特別大。當然優先級低,不代表不要過濾。
3.3.3防注入代碼。
(1)參數是數字直接用intval()函數
注意:現在很多網上流行的防注入代碼都只是只是用addslashes()、mysql_escape_string()、mysql_real_escape_string()或三者任意組合過濾,但phper以為過濾了,一不小心一樣有漏洞,那就是在參數為數字的時候:
1 $id = addslashes($_POST[‘id’]); //正確是$id = intval($_POST[‘id’]); 2 $sql =” select * from phpben.com where id =$id”; 3 $sql =” select * from phpben.com where id =1 or 1=1″;
對比容易發現,post過來的數據通過addslashes過濾后的確很多注入已經不起作用,但是$id並沒有intval,導致漏洞的存在,這是個小細節,不小心則導致漏洞。
(2)對於非文本參數的過濾
文本參數是指標題、留言、內容等可能有“’”,“’”等內容,過濾時不可能全部轉義或代替。
但非文本數據可以。
1 function _str_replace($str ) 2 { 3 $str = str_replace(” “,””,$str); 4 $str = str_replace(“\n”,””,$str); 5 $str = str_replace(“\r”,””,$str); 6 $str = str_replace(“‘”,””,$str); 7 $str = str_replace(‘”‘,””,$str); 8 $str = str_replace(“or”,””,$str); 9 $str = str_replace(“and”,””,$str); 10 $str = str_replace(“#”,””,$str); 11 $str = str_replace(“\\”,””,$str); 12 $str = str_replace(“– “,””,$str); 13 $str = str_replace(“null”,””,$str); 14 $str = str_replace(“%”,””,$str); 15 //$str = str_replace(“_”,””,$str); 16 $str = str_replace(“>”,””,$str); 17 $str = str_replace(“<“,””,$str); 18 $str = str_replace(“=”,””,$str); 19 $str = str_replace(“char”,””,$str); 20 $str = str_replace(“declare”,””,$str); 21 $str = str_replace(“select”,””,$str); 22 $str = str_replace(“create”,””,$str); 23 $str = str_replace(“delete”,””,$str); 24 $str = str_replace(“insert”,””,$str); 25 $str = str_replace(“execute”,””,$str); 26 $str = str_replace(“update”,””,$str); 27 $str = str_replace(“count”,””,$str); 28 return $str; 29 }
ps:還有一些從列表頁操作過來的一般href是”phpben.php?action=delete&id=1”,這時候就注意啦,_str_replace($_GET[‘action’])會把參數過濾掉,筆者一般不用敏感關鍵作為參數,比如delete會寫成del,update寫成edite,只要不影響可讀性即可;
還有上面代碼過濾下划線的筆者注悉掉了,因為有些參數可以使用下划線,自己權衡怎么過濾;
有些代碼把關鍵字當重點過濾對象,其實關鍵字的str_replace很容易“蒙過關”,str_replace(“ininsertsert”)過濾后的字符還是insert,所以關鍵的是其他字符而不是mysql關鍵字。
(3)文本數據防注入代碼。
文本參數是指標題、留言、內容等這些數據不可能也用str_replace()過濾掉,這樣就導致數據的完整性,這是很不可取的。
代碼:
1 function no_inject($str) 2 3 { 4 if(is_array($str)) 5 { 6 foreach($str as $key =>$val) 7 { 8 $str[$key]=no_inject($val); 9 } 10 }else 11 { 12 $str = str_replace(” “,” “,$str); 13 $str = str_replace(“\\”,”\”,$str); 14 $str = str_replace(“‘”,”‘”,$str); 15 $str = str_replace(‘”‘,”””,$str); 16 $str = str_replace(“or”,”or”,$str); 17 $str = str_replace(“and”,”and”,$str); 18 $str = str_replace(“#”,”#”,$str); 19 $str = str_replace(“– “,”– “,$str); 20 $str = str_replace(“null”,”null”,$str); 21 $str = str_replace(“%”,”%”,$str); 22 //$str = str_replace(“_”,””,$str); 23 $str = str_replace(“>”,”>”,$str); 24 $str = str_replace(“<“,”<“,$str); 25 $str = str_replace(“=”,”=”,$str); 26 $str = str_replace(“char”,”char”,$str); 27 $str = str_replace(“declare”,”declare”,$str); 28 $str = str_replace(“select”,”select”,$str); 29 $str = str_replace(“create”,”create”,$str); 30 $str = str_replace(“delete”,”delete”,$str); 31 $str = str_replace(“insert”,”insert”,$str); 32 $str = str_replace(“execute”,”execute”,$str); 33 $str = str_replace(“update”,”update”,$str); 34 $str = str_replace(“count”,”count”,$str); 35 } 36 return $str; 37 }
(4)當然還有其他與addslashes、mysql_escape_string結合的代碼。
防注入的代碼其實來來去去都是那些組合,然后根據自己程序代碼變通,筆者這些代碼也是沒考慮全的,不如cookes、session、request都沒全過濾。重要是知道其中原理,為什么過濾這些字符,字符有什么危害。
4、防止xss攻擊
XSS:cross site script 跨站腳本,為什么不叫css,為了不和div+css混淆。
4.1Xss攻擊過程:
(1)發現A站有xss漏洞。
(2)注入xss漏洞代碼。可以js代碼,木馬,腳本文件等等,這里假如A站的benwin.php這個文件有漏洞。
(3)通過一些方法欺騙A站相關人員運行benwin.php,其中利用相關人員一些會員信息如cookies,權限等。
相關人員:
管理員(如貼吧版主),管理員一般有一定權限。目的是借用管理員的權限或進行提權,添或加管理員,或添加后門,或上傳木馬,或進一步滲透等相關操作。
A站會員:會員運行A站的benwin.php。目的一般是偷取會員在A站的信息資料。
方法:
1) 在A站發誘騙相關人到benwin.php的信息,比如網址,這種是本地誘騙
2) 在其他網站發誘騙信息或者發郵件等等信息。
一般通過偽裝網址騙取A站相關人員點擊進benwin.php
(4)第三步一般已經是一次xss攻擊,如果要更進一步攻擊,那不斷重復執行(2)、(3)步以達到目的。
簡單例說xss攻擊
代碼:benwin.php文件
1 <html> 2 <head> 3 <title>簡單xss攻擊例子</title></head> 4 <meta http-equiv=”Content-Type” content=”text/html; charset=utf-8″> 5 <dody> 6 <form action=”phpben.com?user_name=<?php echo $user_name; ?>”> 7 <input type=”submit” value=”提交” > 8 </form> 9 </body> 10 </html>
當用戶名$user_name的值是“benwin” onSubmit=”alert(‘這是xss攻擊的例子’);” class= “”(這里)
1 <form action=”phpben.com?user_name=benwin” onSubmit=”alert(‘這是xss攻擊的例子’);” class= “” > 2 <input type=”submit” value=”提交” > 3 </form>
當提交表單的時候就會彈出提示框。
(1) 很明顯$user_name在保存進數據庫的時候沒有過濾xss字符(和防注入很像,這里舉例說明)==>發現漏洞
(2) 構造xss代碼:benwin” onSubmit=”alert(‘這是xss攻擊的例子’);” class= “” 傳入數據庫
(3) 騙相關人員進來點擊“提交”按鈕
4.2常見xss攻擊地方
(1)Js地方
1 <script language=”javascript”> 2 var testname =” <?php echo $testname;?>”; 3 </script> 4 $testname的值只要符合js閉合關系:“”;alert(“test xss “);”(以下同理)
(2)form表單里面
1 <input type=”text” name=”##” value=”<?php echo $val; ?>” />
(3)a標簽
1 <a href=”benwin.php?id= <?php echo $id; ?>”>a標簽可以隱藏xss攻擊</a>
(4)用得很多的img標簽
1 <img src=”<?php echo $picPath; ?>” />
甚至一些文本中插入整個img標簽並且用width、 height、css等隱藏的很隱蔽
(5)地址欄
總之,有輸出數據的地方,更准確的說是有輸出用戶提交的數據的地方,都有可能是XSS攻擊的地方。
4.3防XSS方法
防xss方法其實和防注入很相似,都是一些過濾、代替、實體化等方法
(1)過濾或移除特殊的Html標簽。
例如:< 、>、<,、> ‘、”、<script>、 <iframe> 、<,、>、”
(2)過濾觸發JavaScript 事件的標簽。例如 onload、onclick、onfocus、onblur、onmouseover等等。
(3)php一些相關函數,strip_tags()、htmlspecialchars()、htmlentities()等函數可以起作用
5、CSRF
CSRF跨站請求偽造cross site request forgery。
5.1簡單說明CSRF原理
(1)A登錄Site1(如現在網民常上的淘寶、微博、QQ等),產生一些信息,session、cookies等等,且一直保持沒退出。
(2)A再登錄Site2(如一些成人網等,至於怎么跑到Site2,多數是Site通過些手段,郵件欺騙等),打開site2的瀏覽器和打開site1的一樣,否則無效
(3)Site2站中偽造了Site1的http請求(如修改密碼,買東西,轉賬等),Site1的服務器誤以為A在site1的正常操作(因為同瀏覽器且A還沒登出),然后就運行了請求,那么csrf已成功操作。
csrf和xss很相似。xss也能偽造請求,csrf也能制造腳本。
偽造的請求可以很多方面,發郵件、改密碼、返回用戶信息、交易等等,所以相對與xss攻擊來說csrf危害更嚴重。
5.2防范方法。
對於phper
(1)嚴密操控執行入口
執行一些敏感操作比如改密碼這些操作前判斷請求來源,只有本站服務器發的請求才可以執行。判斷方法可以判斷ip來源。非本站服務器ip不會執行。
(2)本站有外鏈的話做些必要操作
一般site2的hacker會在site1(比如論壇里)里發欺騙連接,因為在site1誘騙的相關人員一般都登錄site1了,滿足csrf氣體條件之一。
如當你點擊QQ郵件里面的長外鏈時候,回跳轉到一個頁面提示“有風險”之類,這樣不僅可以減低跳出率,一些不懂的人看到這樣的提示,若不是非必要而是處於好奇點擊的連接一般不會繼續點擊訪問;還有是QQ郵件正文里的圖片在加載內容時是不加載圖片的,要點擊“顯示圖片”按鈕才顯示圖片,這里一個原因之一就是避免攻擊。
當然對於用戶體驗來說這是不可取的,可以優化的是判斷到一些網址(如QQ本身網址)是安全直接可以顯示(不用提示),而可疑的才提示或禁止。
(3)防止csrf也可以用防xss的方法。
6、防盜鏈
盜鏈問題增加服務器的負擔。盜鏈就是盜鏈網站盜取被盜鏈網站資源來實現一些功能。盜鏈方面主要是圖片、視頻、以及其他資源下載文件。
方法:判斷ip,只有本站服務器才能使用站點資源,否則不能使用。
代碼:
(1)在Apache htaccess添加
1 RewriteEngine on 2 RewriteCond %{HTTP_REFERER} !^$ [NC] 3 RewriteCond %{HTTP_REFERER} !phpben.com [NC] 4 RewriteCond %{HTTP_REFERER} !google.com [NC] 5 RewriteCond %{HTTP_REFERER} !baidu.com [NC] 6 RewriteCond %{HTTP_REFERER} !zhuaxia.com [NC] 7 RewriteRule .(jpg|gif|png|bmp|swf|jpeg) /image/replace.gif [R,NC,L] 8 RewriteRule ^(.*)$ http:\/\/phpben.com\/image\/$1 [L]
這樣,凡是不是phpben.com google.com baidu.com zhuaxia.com 域名請求的都返回replace.gif代替返回
7、防CC攻擊
CC攻擊:是利用不斷對網站發送連接請求致使形成拒絕服務的目的。
詳細百度百科:http://baike.baidu.com/view/662394.htm
代碼:
1 session_start(); 2 $ll_nowtime = $timestamp ; 3 if (session_is_registered(‘ll_lasttime’)){ 4 $ll_lasttime = $_SESSION[‘ll_lasttime’]; 5 $ll_times = $_SESSION[‘ll_times’] + 1; 6 $_SESSION[‘ll_times’] = $ll_times; 7 }else{ 8 $ll_lasttime = $ll_nowtime; 9 $ll_times = 1; 10 $_SESSION[‘ll_times’] = $ll_times; 11 $_SESSION[‘ll_lasttime’] = $ll_lasttime; 12 } 13 if (($ll_nowtime – $ll_lasttime)<3){ 14 if ($ll_times>=5){ 15 header(sprintf(“Location: %s”,’http://127.0.0.1′)); 16 exit; 17 } 18 }else{ 19 $ll_times = 0; 20 $_SESSION[‘ll_lasttime’] = $ll_nowtime; 21 $_SESSION[‘ll_times’] = $ll_times; 22 }
文章轉自:http://blog.csdn.net/u011781769/article/details/48470773