安全
关注
分享
扫一扫
black_OX
这个作者很懒,什么都没留下…
展开
-
防跨站请求措施 (CSRF)
使用表单提交数据到服务器是日常的程序行为,可很多同行并没有对伪数据跨站请求采取措施.这里要谈的是服务器端跨站请求而不是JS脚本跨站攻击.相对而言,JS脚本跨站造成的危害会更大,防范措施类似SQL防注入.现在要讲的是CSRF.CSRF是什么呢?是指从我们的表单之外的其它地方伪造数据提交到处理程序的行为.欺诈者经常使用这种方法提交垃圾数据,这些数据不但惹人生厌,而且很可能对站点造成原创 2012-06-04 14:59:23 · 905 阅读 · 0 评论 -
PHP的几个防SQL注入函数
/*==============================================================================================*//** * discuz!防注入的函数 */$magic_quotes_gpc = get_magic_quotes_gpc(); @extract(daddslashes($_COOKIE)原创 2012-06-07 14:44:32 · 882 阅读 · 0 评论 -
PHP漏洞全解(九)-文件上传漏洞
本文主要介绍针对PHP网站文件上传漏洞。由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件,并能够将这些文件传递给 PHP解释器,就可以在远程服务器上执行任意PHP脚本,即文件上传漏洞。一套web应用程序,一般都会提供文件上传的功能,方便来访者上传一些文件。下面是一个简单的文件转载 2012-09-21 10:55:56 · 2198 阅读 · 0 评论 -
PHP漏洞全解(八)-HTTP响应拆分
本文主要介绍针对PHP网站HTTP响应拆分,站在攻击者的角度,为你演示HTTP响应拆分。HTTP请求的格式1)请求信息:例如“Get /index.php HTTP/1.1”,请求index.php文件2)表头:例如“Host: localhost”,表示服务器地址3)空白行4)信息正文“请求信息”和“表头”都必须使用换行字符转载 2012-09-21 10:55:17 · 2101 阅读 · 0 评论 -
XSS跨站脚本攻击原理及防护方法
摘要XSS(Cross Site Script)跨站脚本攻击。它指的是恶意攻击者往Web 页面里插入恶意html 代码,当用户浏览该页之时,嵌入其中Web 里面的html 代码会被执行,从而达到恶意用户的特殊目的。本文介绍了该攻击方式,并给出了一些防范措施。原理XSS 属于被动式的攻击。攻击者先构造一个跨站页面,利用script、、等各种方式使得用户转载 2012-09-21 13:57:54 · 1699 阅读 · 0 评论 -
PHP漏洞全解(三)-客户端脚本植入
本文主要介绍针对PHP网站的客户端脚本植入攻击方式。所谓客户端脚本植入攻击,是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对象内。当用户打开这些对象后,黑客所植入的脚本就会被执行,进而开始攻击。客户端脚本植入(Script Insertion),是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对象内。当用户打开这些对象后,攻击者所植入的脚本就会被执转载 2012-09-21 10:50:34 · 2529 阅读 · 0 评论 -
PHP漏洞全解(二)-命令注入攻击
本文主要介绍针对PHP网站常见的攻击方式中的命令攻击。Command Injection,即命令注入攻击,是指这样一种攻击手段,黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。使用系统命令是一项危险的操作,尤其在你试图使用远程数据来构造要执行的命令时更是如此。如果使用了被污染数据,命令注入漏洞就产生了。命令注入攻击转载 2012-09-21 10:49:57 · 2380 阅读 · 0 评论 -
PHP漏洞全解(一)-PHP网站的安全性问题
本文主要介绍针对PHP网站常见的攻击方式,包括常见的sql注入,跨站等攻击类型。同时介绍了PHP的几个重要参数设置。后面的系列文章将站在攻击者的角度,为你揭开PHP安全问题,同时提供相应应对方案。针对PHP的网站主要存在下面几种攻击方式:1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户转载 2012-09-21 10:48:39 · 1377 阅读 · 0 评论 -
PHP漏洞全解(七)-Session劫持
本文主要介绍针对PHP网站Session劫持。session劫持是一种比较复杂的攻击方法。大部分互联网上的电脑多存在被攻击的危险。这是一种劫持tcp协议的方法,所以几乎所有的局域网,都存在被劫持可能。服务端和客户端之间是通过session(会话)来连接沟通。当客户端的浏览器连接到服务器后,服务器就会建立一个该用户的session。每个用户的session都是独立的,转载 2012-09-21 10:54:33 · 1945 阅读 · 0 评论 -
PHP漏洞全解(六)-跨网站请求伪造
本文主要介绍针对PHP网站的跨网站请求伪造。在CSRF所有攻击方式中包含攻击者伪造一个看起来是其他用户发起的 HTTP 请求,事实上,跟踪一个用户发送的 HTTP 请求才是攻击者的目的。CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网转载 2012-09-21 10:53:47 · 1927 阅读 · 0 评论 -
PHP漏洞全解(五)-SQL注入攻击
本文主要介绍针对PHP网站的SQL注入攻击。所谓的SQL注入攻击,即一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。SQL注入攻击(SQL Injection),是攻击者在表单中提交精心构造的sql语句,改动原来的sql语句,如果web程序没有对提交转载 2012-09-21 10:53:04 · 1685 阅读 · 0 评论 -
PHP漏洞全解(四)-xss跨站脚本攻击
本文主要介绍针对PHP网站的xss跨站脚本攻击。跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行或者通过给管理员发信息的方式诱使管理员浏览,从而获得管理员权限,控制整个网站。攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。XSS(Cross Site Script转载 2012-09-21 10:51:38 · 1885 阅读 · 0 评论