你的 PHP/Laravel 网站是否足够安全?
2018-02-24 16:08
183 查看
[align=center]你的 PHP/Laravel 网站是否足够安全?[/align]
1. SQL 注入
或许这是最知名的漏洞. 从根本上来说, 他允许网站攻击者注入 SQL 到你的代码中. 如果你的代码就想这样:$post_id = $_POST['post_id'];$sql = "DELETE FROM posts WHERE user_id = 1 AND id = $post_id";\DB::statement($sql);如果有人在 email 字段输入: 1 OR 1 . SQL 语句将像以下这样:$sql = "DELETE FROM posts WHERE user_id = 1 AND id = 1 OR 1";基本上你在说的是 --- 请删除所有用户的所有帖子.2. XSS (cross site scripting)
跨站脚本攻击类似于SQL注入.它会向HTML页面注入HTML/JavaScript代码.想象一个类似于Google的,用户可以输入并进行搜索的页面,在搜索结果显示页面,如果你用如下的方式显示用户搜索的结果:<?php echo 'You searched for: ' . $_GET['search_query']; ?>如果攻击者尝试输入类似如下的代码:<script>alert('surprise!');</script>浏览器将会执行这句JavaScript 脚本,用户将会看到一个显示着"surprise!"的弹窗.攻击者利用这个漏洞,可以窃取浏览器的cookie,强制用户跳转到其他网站,窃取用户的密码.什么?你的密码是123456?3. CSRF (跨站请求伪造)
例如在你的网站上有用户可以用来删除账户的链接.<a href="http://your-website.com/delete-account">delete account</a>猜测以下如果攻击者提交一个如下这样的评论会发生什么:<img src=”http://your-website.com/delete-account”> lol :D用户将在查看此评论的时候删除他们的账号. 让我们继续发表评论.4. 点击劫持
这种攻击类型试图让你点击你不想要的地方。例如通过在其他按钮顶部放置不可见的 Facebook like 按钮。另一个例子是在 <iframe> 中打开 Facebook ,并将这个 iframe 放置在 JavaScript 代码中,所以无论何时你点击某个地方,你总是会点击到 Facebook 页面上的分享按钮。查看示例你也喜欢这个例子吗?5. 上传文件到 public_html
这种攻击形式是,攻击者上传 .php 文件或者其他可执行文件到你的 public_html 目录。.想象一下如果你的网站有图片上传功能,同时没有检测上传文件的类型。我仿佛看见一场上传风暴扑面而来...6. ZIP 炸弹
一些网站允许用户上传 .zip 文档,然后进行解压缩和再处理。但这里存在一个大问题。很有可能这个 .zip 文档大小仅有 42 KB,但在解压后会占用 4718592 GB 的空间。你可以把它想象成一颗原子弹。样例文件7. file_get_contents()
使用这个函数可以轻松的读取文件内容:echo file_get_contents('https://some-website.com/friend-list.txt');但是你如果让攻击者输入他想要的,他可以从你服务器进入的文件,例如:echo file_get_contents('.env');ORecho file_get_contents('secret-code.php');这个函数将会从你的服务器读取文件和展示内容给攻击者。这个漏洞是很难找到的,就像皮卡丘在宠物小精灵之中一样难找。相关文章推荐
- PHP网站常见安全漏洞,及相应防范措施总结
- 【PHP】PHP网站安全漏洞全解
- PHP程序员必须学习的第二课——网站安全问题预防
- PHP的Laravel框架中使用AdminLTE模板来编写网站后台界面
- 网站安全编程 黑客入侵 脚本黑客 高级语法入侵 C/C++ C# PHP JSP 编程
- php网站判断用户是否是手机访问的方法
- php网站如何防止sql注入?(PHP注入的安全规范)
- php抓取网站内容,获取通达OA官网最新用户,判断页面是否能访问,php正则
- PHP网站常见安全漏洞,及相应防范措施总结
- VC2005/2008 此网站的某个加载项运行失败,请检查“Internet选项 ”中的安全设置是否存在潜在冲突
- 使用Token作为凭证,从App免登陆跳转到Web是否足够安全?
- php添加360防护代码,处理网站安全漏洞
- PHP判断变量是否存在并且己赋值安全的写法
- oss php sdk+laravel搭建图片处理静态网站
- php网站判断用户是否是手机访问的方法
- PHP网站在Linux服务器上面的安全配置
- linux下PHP网站安全加固方案
- php改良判断网站是否被百度收录
- PHP网站常见安全漏洞,及相应防范措施总结
- PHP上传漏洞提权(网站安全、黑客防范)