自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

你的PHP/Laravel網(wǎng)站是否足夠安全?

作者:Summer
開發(fā) 后端
要想讓你的PHP/Laravel網(wǎng)站足夠安,想要在這場(chǎng)漏洞之戰(zhàn)中贏得勝利,最好的方法就是深入了解本文中的7點(diǎn)內(nèi)容。

[[218964]]

1. SQL 注入

或許這是最知名的漏洞. 從根本上來(lái)說(shuō), 他允許網(wǎng)站攻擊者注入 SQL 到你的代碼中. 如果你的代碼就想這樣: 

  1. $post_id = $_POST['post_id']; 
  2.  
  3. $sql = "DELETE FROM posts WHERE user_id = 1 AND id = $post_id"
  4.  
  5. \DB::statement($sql);  

如果有人在 email 字段輸入: 1 OR 1. SQL 語(yǔ)句將像以下這樣: 

  1. $sql = "DELETE FROM posts WHERE user_id = 1 AND id = 1 OR 1"

基本上你在說(shuō)的是 --- 請(qǐng)刪除所有用戶的所有帖子.

2. XSS (cross site scripting)

跨站腳本攻擊類似于SQL注入.它會(huì)向HTML頁(yè)面注入HTML/JavaScript代碼.

想象一個(gè)類似于Google的,用戶可以輸入并進(jìn)行搜索的頁(yè)面,在搜索結(jié)果顯示頁(yè)面,如果你用如下的方式顯示用戶搜索的結(jié)果: 

  1. <?php echo 'You searched for: ' . $_GET['search_query']; ?> 

如果攻擊者嘗試輸入類似如下的代碼: 

  1. <script>alert('surprise!');</script> 

瀏覽器將會(huì)執(zhí)行這句JavaScript 腳本,用戶將會(huì)看到一個(gè)顯示著"surprise!"的彈窗.

攻擊者利用這個(gè)漏洞,可以竊取瀏覽器的cookie,強(qiáng)制用戶跳轉(zhuǎn)到其他網(wǎng)站,竊取用戶的密碼.什么?你的密碼是123456?

3. CSRF (跨站請(qǐng)求偽造)

例如在你的網(wǎng)站上有用戶可以用來(lái)刪除賬戶的鏈接. 

  1. <a href="http://your-website.com/delete-account">delete account</a> 

猜測(cè)以下如果攻擊者提交一個(gè)如下這樣的評(píng)論會(huì)發(fā)生什么: 

  1. <img src=”http://your-website.com/delete-account”> lol :D 

用戶將在查看此評(píng)論的時(shí)候刪除他們的賬號(hào). 讓我們繼續(xù)發(fā)表評(píng)論.

4. 點(diǎn)擊劫持

這種攻擊類型試圖讓你點(diǎn)擊你不想要的地方。例如通過(guò)在其他按鈕頂部放置不可見的 Facebook like 按鈕。

另一個(gè)例子是在 <iframe> 中打開 Facebook ,并將這個(gè) iframe 放置在 JavaScript 代碼中,所以無(wú)論何時(shí)你點(diǎn)擊某個(gè)地方,你總是會(huì)點(diǎn)擊到 Facebook 頁(yè)面上的分享按鈕。

查看示例

你也喜歡這個(gè)例子嗎?

5. 上傳文件到 public_html

這種攻擊形式是,攻擊者上傳 .php 文件或者其他可執(zhí)行文件到你的 public_html 目錄。.

想象一下如果你的網(wǎng)站有圖片上傳功能,同時(shí)沒(méi)有檢測(cè)上傳文件的類型。我仿佛看見一場(chǎng)上傳風(fēng)暴撲面而來(lái)...

6. ZIP 炸彈

一些網(wǎng)站允許用戶上傳 .zip 文檔,然后進(jìn)行解壓縮和再處理。但這里存在一個(gè)大問(wèn)題。

很有可能這個(gè) .zip 文檔大小僅有 42 KB,但在解壓后會(huì)占用 4718592 GB 的空間。你可以把它想象成一顆原子彈。

樣例文件

7. file_get_contents()

使用這個(gè)函數(shù)可以輕松的讀取文件內(nèi)容: 

  1. echo file_get_contents('https://some-website.com/friend-list.txt'); 

但是你如果讓攻擊者輸入他想要的,他可以從你服務(wù)器進(jìn)入的文件,例如: 

  1. echo file_get_contents('.env'); 

OR 

  1. echo file_get_contents('secret-code.php'); 

這個(gè)函數(shù)將會(huì)從你的服務(wù)器讀取文件和展示內(nèi)容給攻擊者。

這個(gè)漏洞是很難找到的,就像皮卡丘在寵物小精靈之中一樣難找。

總結(jié) 

想要在這場(chǎng)漏洞之戰(zhàn)中贏得勝利,最好的方法就是深入了解它們。 

責(zé)任編輯:龐桂玉 來(lái)源: PHP技術(shù)大全
PHPLaravel網(wǎng)站安全
相關(guān)推薦

2014-02-21 11:30:31

2013-08-21 09:20:15

敏捷方法敏捷開發(fā)云基礎(chǔ)設(shè)施是

2022-06-26 06:36:37

物聯(lián)網(wǎng)安全網(wǎng)絡(luò)安全

2015-01-21 09:15:44

2020-04-02 11:06:56

網(wǎng)站安全HTTPS加密

2009-11-18 13:20:07

PHP設(shè)計(jì)模式

2011-12-22 15:51:06

SSLVPN

2012-04-12 11:28:04

2015-05-27 14:55:45

2013-06-05 10:44:20

2015-07-06 09:43:21

BYOD企業(yè)風(fēng)險(xiǎn)管理移動(dòng)辦公

2011-09-22 13:56:56

2016-08-10 08:30:16

2021-11-02 19:01:41

WWWGrepHTML安全安全工具

2024-02-21 20:46:48

C++編程volatile

2018-12-25 09:17:26

物聯(lián)網(wǎng)法規(guī)物聯(lián)網(wǎng)IOT

2009-08-28 18:12:26

防火墻規(guī)則測(cè)試

2015-07-09 09:35:37

2022-01-24 11:16:13

PHP服務(wù)器惡意

2021-07-19 08:00:00

開源數(shù)據(jù)工具
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)