基于PHP的應(yīng)用面臨著各種各樣的攻擊:
XSS:對PHP的Web應(yīng)用而言,跨站腳本是一個易受攻擊的點。攻擊者可以利用它盜取用戶信息。你可以配置Apache,或是寫更安全的PHP代碼(驗證所有用戶輸入)來防范XSS攻擊
SQL注入:這是PHP應(yīng)用中,數(shù)據(jù)庫層的易受攻擊點。防范方式同上。常用的方法是,使用mysql_real_escape_string()對參數(shù)進行轉(zhuǎn)義,而后進行SQL查詢。
文件上傳:它可以讓訪問者在服務(wù)器上放置(即上傳)文件。這會造成例如,刪除服務(wù)器文件、數(shù)據(jù)庫,獲取用戶信息等一系列問題。你可以使用PHP來禁止文件上傳,或編寫更安全的代碼(如檢驗用戶輸入,只允許上傳png、gif這些圖片格式)
包含本地與遠程文件:攻擊者可以使遠程服務(wù)器打開文件,運行任何PHP代碼,然后上傳或刪除文件,安裝后門??梢酝ㄟ^取消遠程文件執(zhí)行的設(shè)置來防范
eval/assert:這個函數(shù)可以使一段字符串如同PHP代碼一樣執(zhí)行。它通常被攻擊者用于在服務(wù)器上隱藏代碼和工具。通過配置PHP,取消eval等函數(shù)調(diào)用來實現(xiàn)
Sea-surt Attack(Cross-site request forgery,CSRF。跨站請求偽造):這種攻擊會使終端用戶在當前賬號下執(zhí)行非指定行為。這會危害終端用戶的數(shù)據(jù)與操作安全。如果目標終端用戶的賬號用于管理員權(quán)限,整個Web應(yīng)用都會收到威脅。
這里介紹上述加粗的幾種攻擊的方法
一、各種webshell
隨著業(yè)務(wù)量的增大,越來越多的黑客來攻擊掃描,網(wǎng)站安全性日益重要,一不留神就被黑客控制了服務(wù)器,最常見的方式就是通過POST請求來上傳木馬文件,從而達到可以執(zhí)行任意命令,如果被控制就大事不妙了
所以還是要正視服務(wù)器的安全
最流行的一種后門叫做一句話木馬,其形式如下所示: