PHP web 安全

最新推荐文章于 2025-06-26 17:42:14 发布
转载 最新推荐文章于 2025-06-26 17:42:14 发布 · 515 阅读 · 0

web安全

1.表单测试:

空白字符,控制字符,非字母数据(如符号&,*等),超长输入(大于256个字符),留言版垃圾,二进制数据,其他编码数据(如ASICII,UTF-8,十六进制,八进制等),SQL诸如,XSS

处理:设定长度规则(合法用户不会写小说),若能发邮件的地方只能一次一个发一人,错误处理进行重定向或错误提示,

2.系统调用:exec(),sysetem(),backtick。

1.部署的正式环境去掉sudo命令(禁止该命令)

2.使用escapeshellcmd(),escapeshellarg()进行转义保护系统调用,

3.使用固定方式调用系统命令,封装api,如将exec()来移动文件封装为只接受文件名的函数调用,避免直接调用,让api功能单一,exec()带太多额外不方便检测,如只接受文件名的函数则更容易检测变量是否满足条件

4.验证用户的输入

3.缓冲区溢出:

当载入程序后,程序会被保存在内存中,内存其他部分也就是缓冲区,将被用来保存程序数据(作为全局变量保存)、任何程序设计的函数库以及两个数据结构(堆栈和堆),堆栈是从下往上填充,若参数大于参数的缓冲区所准备的空间,它将覆盖下一个可用的内存地址,返回地址缓冲区,于是返回结果可能为一段恶意结构,

4.密码强度:

1.避免任何语言的字典单词

2.使用大小写字母或其他字符组合

3.密码长度大于6-8位,可以更多

4.创建密码提示符代替答案,如一句话的首写字母

5.定期修改密码

6.是否以加密的方式存储密码

7.保存密码的数据库是否安全

7.若账户可以发送邮件,是否实现了验证码来过滤避免自动脚本创建账户

5.会话安全:会话固化,会话劫持,会话毒化(注入)

6.xss跨站攻击(htmlspecialchars, strip_tags),sql注入(mysql_real_escape_string, addslashes),csrf,挂马,危险脚本(如phpinfo这种暴露版本信息),远程文件包含allow_url_include=Off,管理后台泄露(单一入口在目录,其他php不再web目录),身份权限验证

7.apache配置:

php.ini中disable_functions可以禁用php函数(如disable_functions = phpinfo,gzcompress,apache_note,apache_setenv,proc_get_status,exec,passthru,proc_nice,proc_open,proc_terminate,shell_exec,system,popen,ini_restore,syslog,define_syslog_variables,symlink,link,error_log,leak,dbmopen,openlog,closelog,popen,pclose,stream_socket_server)

1.隐藏版本信息和http头信息:ServerSignature Off,ServerTokens Prod,隐藏php错误(php.ini expose_php = On)

2.目录遍历

3.将apache限制在自身目录结构中,http.conf设置<Directory 目录> Order….Deny……..</Directory>,在非web目录不能打开php脚本,比如上传目录不能运行

4.关闭多于的配置和模块

5.使用ModSecurity包过滤工具(有利有弊,如增加了开销,还会将空格,点号,左方括号转换为下划线等)

额外补充:

Path Traversal(目录遍历)

漏洞描述

目录遍历指的是应用程序对文件路径没有检查导致服务器上的敏感文件/代码泄漏。

安全隐患

可能会导致源代码等敏感信息泄露。

修复建议

严格检查文件路径参数,限制在指定的范围。严格限制文件路径参数,不允许用户控制文件路径相关的参数,限定文件路径范围。

在php.ini中进行如下配置:

open_basedir = 服务器上WEB目录的路径(注,路径最后需要加上斜杠作为结束),如:open_basedir = /var/www/html/

Directory Indexing(目录泄露)

漏洞描述

应用服务器配置不当,导致应用服务器的目录列表被展示。

安全隐患

可能会导致敏感信息或源代码泄露。

修复建议

配置应用服务器禁止目录列表展示。、

apache修改方法:
<Directory “E:/www”>下面的
Options Indexes FollowSymLinks
改成
Options  FollowSymLinks
然后

改成

8.保护MySQL:

1.单机的话则关闭远程访问或则只能固定ip访问

2.修改管理员root用户名且增加密码不为空

3.为一个应用开启单独的账户和密码设置最小化的权限,如不能删除数据表等

4.删除多于的MySQL账户和数据库(如test)

9.php配置php.ini:

1.safe_mod,safe_mod_gid开关

2.open_basedir,safe_mode_exec_dir

3.expose_php,register_globals,session_cookie_lifetime

4.diplay_errors

5.远程文件打开等

10.Fuzz测试:PowerFuzzer,测试工具集:CAL9000

得物的AI在线鉴定怎么实现的?
百态老人的博客
01-08 2336
用户上传商品的多张照片,系统通过高清镜头对商品进行360度全方位拍摄,捕捉商品的纹理、Logo几何形状、工艺等细节特征。这些照片会被输入到AI系统中进行分析。:得物的AI鉴别系统基于多年积累的查验鉴别研究和海量实物商品数据训练而成。该系统整合了数十亿级查验鉴别数据样本和庞大的实物商品数据库,利用细粒度感知、分层注意力机制、神经网络结构搜索等技术,快速分析商品的关键物理特性。:得物建立了覆盖13个消费品类、1500多个品牌、10万多种商品的正品样本库。
得物订单截图模拟器.apk
12-26
一款得物订单截图模拟器,多种模板可选,一键生成,简单快捷,满足你的各种需求,自定义商品信息、价格、收货地址等细节,高度还原真实订单,适用于社交分享、朋友间的玩笑,提升趣味性,本应用仅供娱乐。
得物 APP newSign分析
ff2766958292的博客
03-16 1442
得物、newSign、sign
另类的唯品会和得物比价
yjack007的专栏
02-22 6342
目前得物h5和小程序防爬弄得采集数据很费劲,另辟蹊径做了一款通过模拟器和商家后台方式采集数据的方式,目前实现了跟唯品会的比价。运行界面如下: 输入品牌名称,点击“开始”,表格中左边依次显示唯品会采集的数据,右边会根据采集模式的不同,从安卓模拟器或商家后台采集数据进行对比,确定不同尺码的价格,以及是否有利润,红色表示有利润,绿色表示没有。 支持从excel中导入数据和从唯品会获取数据,excel的数据格式必须保证第二列是货号,第七列是价格。 支持从模拟器和得物商家后台获取得物的价格信息: 模拟器模
得物数据采集
weixin_46348974的博客
04-01 2458
得物商品列表得物商品评价需要私聊。
得物薪资开了,比去年还猛。
沉默王二
01-02 3453
串行化是最高的隔离级别,通过强制事务串行执行来避免并发问题,可以解决“脏读”、“不可重复读”和“幻读”问题。TCP 是面向连接的,而 UDP 是无连接的。TCP 就像是打电话一对一私聊,UDP 就像是拿个大喇叭在广播(😂)。在数据传输开始之前,TCP 需要先建立连接,数据传输完成后,再断开连接。这个过程通常被称为“三次握手”、“四次挥手”。UDP 是无连接的,发送数据之前不需要建立连接,发送完毕也不需要断开,数据以数据报形式发送。
得物app数据 采集 交流
2501_91626781的博客
05-17 1550
2. 了解API文档:详细阅读得物API接口文档,了解各个接口的使用方法、请求参数、返回值等信息。1. 注册并创建应用程序:在得物开发者平台进行注册并创建一个应用程序,获取API密钥。3. 扩展性强:得物API接口支持多种编程语言和工具,方便开发者进行二次开发。4. 实时性高:得物API接口支持实时数据更新,确保获取到的数据最新、最准确。3. 调用API接口:根据实际需求,调用相应的API接口,并传入必要的参数。2. 高效便捷:API接口调用简单快捷,可快速实现数据的获取与处理。三、得物API接口优势。
Compareprice多平台跟得物比价
yjack007的专栏
06-03 9859
目前已经更新到1.3.0版本,支持线下店、唯品会和京东跟得物的比价,比价采用的是从模拟器上的app进行界面操作获取不同尺码的价格数据,目前支持夜神、雷电和网易等多款模拟器。
得物商品详情接口
weixin_38821240的博客
05-23 1969
=====================有需要可以联系(昵称)2023-06月份最近得物无风控详情接口。目前已经封装好接口,可以提供。
得物星云系统技术架构浅析
琪琪的博客
05-21 2420
DASS 层服务对外提供各种通用能力,APASS 层服务作为 DASS 层服务的底部支撑服务,不对外提供接口服务,属于星云内部能力,这样划分是为了让每个服务的能力边界和服务分层更加明确,也能缩小应用接口访问权限的管理,只有 DASS 层服务才需要接口权限申请。圈选 check 服务应对不同场景时使用了不同的数据层,有 hbase、redis、es 等,不同数据层都有自己的特点,不同场景的读写流量以及底层数据量是不一样的,选择合适的数据层很重要。
2023秋招得物面经 8.31总结
zj5566778899的博客
08-31 3478
1.数据结构中有哪些树    2.OSI7层网络,每一层具体做什么的    3.HTTP和HTTPS的区别    4.有哪些方式做多线程开发,需要注意哪些点    5.线程用一次就创建一次,然后销毁,怎么解决    6.IOC和DI    7.Set 怎么去保证去重的    8.Set 里面保存的是一个自定义的对象的话,对象应该有什么动作?    9.Redolog和Binlog区别
面试题得物1
08-08
【面试题得物1】涉及了众多IT领域的知识点,涵盖了Java、Kafka、RocketMQ、MySQL、Redis、算法和分布式等多个方面。以下是这些知识点的详细解释: 1. **数据库索引结构**:索引是数据库管理系统中用于提高查询速度...
唯品会得物商品比价工具
02-22
"唯品会得物商品比价工具"是一个用于比较唯品会与得物平台上同类商品价格的应用程序。这个工具利用了编程技术来自动化获取并分析两个电商平台上的商品价格,帮助消费者做出更明智的购物决策。以下是一些相关知识点:...
得物小程序sign参数加密方法
09-01
得物小程序sign参数加密方法 可以供大家学习但是不能用于非法用途,否则后果自负
微信小程序开发项目实例-得物的租借平台代码(源码).rar
05-21
在这个“微信小程序开发项目实例-得物的租借平台代码”中,我们将深入探讨如何利用微信小程序的开发工具和框架构建一个类似得物的租借平台。 首先,我们需要了解微信小程序的基础架构。它采用了JavaScript作为主要...
A3977SLPTR-T Allegro高精度电机驱动芯片 过电保护 3D打印机工业自动化无人机专用
最新发布
ssx83948880的博客
06-26 483
A3977SLPTR-T 是 Allegro MicroSystems(埃戈罗微电子) 推出的一款 步进电机驱动芯片,属于 DMOS微步进驱动器,集成了 PWM电流控制、保护电路和逻辑接口,适用于高精度步进电机控制应用
CKESC的ROCK 180A-H 无人机电调:100V 高压冗余设计与安全保护解析
UAV_ckesc的博客
06-25 643
南昌长空的ROCK 180A-H 电调以 110V 高压兼容性、九项安全保护机制及实时数据监控为核心优势,通过低内阻硬件设计与光电隔离抗干扰技术,实现复杂工况下的稳定运行。其可定制化参数(如保护温度、响应时间)与 IP55 防护等级,适配无人机高压动力系统的可靠性需求。
无人机螺旋桨机械能模块解析
YUNZHUO666的博客
06-26 837
匹配电机与工况:桨叶直径、桨距、数量必须与电机的KV值、功率特性以及无人机的典型飞行状态(悬停效率 vs 高速效率)精确匹配。**这是克服无人机重力(悬停)和空气阻力(前进)的主要力量。难点:不平衡、气动不对称、桨叶与气流/结构的相互作用都会产生有害振动,影响传感器精度、结构寿命、飞行稳定性和噪音。结构设计:优化铺层设计(碳纤方向)、内部加强结构(如梁、抗剪腹板)、合理的截面厚度分布以抵抗离心力和弯曲力矩。:推力- 用于提供升力、推进力,实现无人机的悬停、爬升、下降、前进、后退、横移等所有动作。
绝缘子故障检测数据集-无人机巡检 智能运维 2,100张图片
cver123的博客
06-26 1307
绝缘子故障检测数据集-无人机巡检 智能运维 2,100张图片
得物签名
03-12
<think>好的,我现在需要帮助用户了解或实现得物签名的相关技术,特别是签名算法的实现方式。首先,我需要收集已有的信息。根据用户提供的引用,特别是引用[4]和[5],得物的签名算法可能涉及逆向工程分析,使用了JavaScript中的XMLHttpRequest重写来拦截请求,并在请求中包含特定的sign参数。这可能意味着签名生成是在客户端进行的,通常在前端JavaScript代码中完成。 接下来,我应该考虑常见的签名生成方法。常见的Web应用签名算法通常使用HMAC、AES、RSA或自定义的哈希组合。引用[1]提到了RSA算法,但得物的签名可能更倾向于使用HMAC-SHA256之类的哈希算法,结合时间戳、随机数和请求参数进行签名,以防止篡改和重放攻击。 用户可能需要具体的步骤,比如逆向分析得物的JavaScript代码,找到生成sign的函数,提取关键参数和加密逻辑。引用[5]中的代码片段展示了如何重写XMLHttpRequest的open方法来拦截请求,这可能用于调试和定位签名生成的代码位置。 此外,引用[4]提到使用Python进行算法还原,所以可能需要在Python中复现JavaScript的签名生成逻辑。这通常涉及分析请求参数如何排序、拼接,以及如何与密钥结合进行哈希或加密。需要注意反爬机制,如obfuscation(代码混淆)或动态密钥,这可能需要使用AST(抽象语法树)解析或动态执行来还原算法。 用户可能还需要了解如何应对反调试措施,比如在Chrome开发者工具中使用断点调试,或者使用工具如Frida进行Hook。同时,引用[3]和[4]强调了法律和合规问题,确保研究仅用于学习目的,不用于非法用途。 最后,应该提醒用户注意法律风险,遵循网站的使用条款,避免侵犯知识产权或违反计算机安全法律。总结起来,实现得物签名需要逆向工程分析前端代码,提取关键算法,处理可能的混淆和反调试,最后用目标语言如Python复现算法。</think>### 得物签名算法实现方式分析 得物签名算法主要用于接口请求的身份验证和防篡改保护,常见实现方式涉及以下技术点: #### 1. **签名参数组成** 签名通常由以下参数动态生成: - 请求参数(经排序、过滤空值后拼接) - 时间戳(如:$timestamp=1620000000$) - 随机数(如:$nonce=5a8s3d$) - 设备指纹(如:$device\_id=abcdef$) - 应用密钥(加密盐值,可能动态获取)[^4] 示例参数拼接逻辑: $$ \text{sign\_str} = \text{path} + \text{sorted\_params} + \text{timestamp} + \text{nonce} $$ #### 2. **加密算法类型** 根据逆向分析,得物可能采用以下组合: - **HMAC-SHA256**:对拼接字符串进行哈希运算 - **AES/Base64编码**:对结果二次处理 - **自定义位移/异或操作**:增加逆向难度[^5] #### 3. **JavaScript代码混淆** 关键函数可能被混淆,例如: ```javascript function _0x12ab5(a, b) { return a ^ b << 3; } // 需要AST解析还原控制流 ``` #### 4. **Python算法还原示例** ```python import hmac import hashlib def generate_sign(params, secret_key): # 1. 参数排序并拼接 sorted_str = '&'.join([f"{k}={v}" for k,v in sorted(params.items())]) # 2. HMAC-SHA256加密 sign = hmac.new(secret_key.encode(), sorted_str.encode(), hashlib.sha256).hexdigest() # 3. 自定义处理(示例) return sign.upper() + str(int(time.time())) ``` #### 5. **反爬对抗措施** - 动态密钥:通过接口定期更新加密盐值 - 环境检测:验证是否在真机环境运行 - 请求频率限制:异常高频触发验证码[^5]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值