由被WebInspect攻击引发的php header()使用问题

最新推荐文章于 2023-11-07 22:42:45 发布
转载 最新推荐文章于 2023-11-07 22:42:45 发布 · 278 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/133045
文章标签:

#数据库 #php

本文讲述了在一次项目测试中,由于不当使用PHP header函数导致的安全问题。测试人员利用WebInspect工具发现了能够注入垃圾数据并篡改现有数据的安全漏洞。文章详细解释了问题的原因在于header跳转后未正确终止执行流程,并提供了正确的实现方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最新做的一个项目,被测试组猛烈攻击,暴露了不少问题。其中一个问题印象深刻!
  测试使用了WebInspect这个扫描工具,扫描了整个网站,包括后台。结果我们的数据库里被灌入大量的垃圾数据,并修改了原有的数据。总之,惨不忍睹!
  后来,我们发现我们后台的一个简单的检查是否登录的方法有问题:在判定未登录时,使用php header()跳转页面,没有在这个方法执行后退出执行。这样的话,页面跳转,但在header()下面的代码依然会执行。
  现总结下php header()使用时注意的问题:
  1、location和“:”号间不能有空格,否则会出错。
  2、在用header前不能有任何的输出。
  3、header后的PHP代码还会被执行。记得加exit() 或者die 退出。
  另外,后台登录地址注意安全,不让他人轻易猜到!

最新内容请见作者的GitHub页:http://qaseven.github.io/

SSL weak ciphers 漏洞修复过程
Charlven的博客
12-31 8172
文章目录故事前言知识储备什么是 TLSTLS定义TLS如何工作TLS握手过程TLS 发展过程什么是 SSL问题分析漏洞定义漏洞理解处理办法1. 禁用SSL 2.0 和 SSL 3.02. 禁用 TLS 1.0 和 1.1如何配置 TLSNginx的 故事前言 最近接到了一个安全漏洞:ssl weak ciphers。一开始接到这个漏洞讲真,觉得一脸懵逼。发现触及知识点盲区了。。没办法,那我们一步一...
Web系统常见安全漏洞介绍及解决方案-CSRF攻击
web15286201346的博客
07-31 343
CSRF跨站请求伪造,全称Cross-siterequestforgery,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF是Web安全中最容易被忽略的一种攻击方式,但某些时候却能产生强大的破坏性。...
WebInspect Manual 中文版(文档)
08-19
WebInspect Manual 中文版
PHP 防御 HTTP header注入,PHP 'header()' HTTP标头注入漏洞
weixin_42389113的博客
03-13 523
发布日期:2012-09-06更新日期:2012-09-14受影响系统:PHP PHP 5.1.2描述:--------------------------------------------------------------------------------BUGTRAQ ID: 55297CVE ID: CVE-2011-1398PHP是一种HTML内嵌式的语言,PHP与微软的ASP颇有...
WebInspect在cmd下操作教程(带java调用例子)
wslejeff的专栏
06-14 2393
wi.exe-u url [-s file] [-ws file] [-Framework name] [-CrawlCoverage name]  [-ps policyID | -pc path][-ab|an|am|ad|aa|ak {creds}] [-o|c]  [-n name] [-e[abcdefghijklmno] file][-x|xd|xa|xn] [-b filepat
webinspect安全扫描
qq_45990691的博客
02-14 3319
1.登录wie 2.创建项目 new project version 创建完可以从主界面的projece version找到并进入 3.录制宏 找到HP-login macro recirder---点击record---登录进去---录制好了播放---保存 4.创建扫描 主界面点Scans 选择之前的信息,勾选 site Authertication ,上传宏 ---next---选 standard----next---选run on any avaliable sensor---scan 5.查看扫.
WebInspect.9.10
02-23
网站病毒检测,WebInspect.9.10
hp webinspect10.rar
09-06
总之,HP WebInspect是企业级Web应用程序安全防护的重要工具,通过定期的扫描和及时的修复,可以显著提升Web应用的安全性,降低被黑客攻击的风险。在使用WebInspect时,应结合实际业务环境,合理设置扫描策略,确保...
web 安全扫描 webinspect
06-27
webinspect 扫描工具
WebInspect manual.zip_K4V_WebInspect_WebInspect manual_zip
09-23
2. **深度爬网**:通过模拟用户行为,WebInspect可以深入挖掘应用程序的各个角落,找出可能的攻击入口点。 3. **自定义策略**:用户可以根据特定项目需求创建和调整扫描策略,以适应不同的安全标准和合规要求。 4....
WebInspect破解pdf
07-29
WebInspect破解文件,供大家参考学习
webInspect SprinBoot2.x安全整改
u011311291的博客
12-13 4905
都是基于Springboot2.x整改 一.Insecure Transport: Weak SSL Cipher Insecure Transport: Weak SSL Cipher(11285) Insecure Transport: Weak SSL Protocol(11516) Insecure Transport: Weak SSL Protocol(11395) 需要进行两步操作:...
SSL 和windows及浏览器等兼容性报告
11-29
本报告就如何配置SSL/TLS以提供最先进的身份验证和加密技术提出了一般性建议。ssl引擎提供的选项是从 自从Netscape开发SSL2.0以来的早期。TLS的引入使问题变得更具有挑战性,因为服务器和客户端根据各个ssl引擎提供不同的可用选项。 (OpenSSL、NSS、SChannel等)他们用。事实证明,找到中间地带是很困难的,特别是因为支持的协议和密码套件大多没有文档化。
webgoat-Request Forgeries 请求伪造
seanyang_的博客
11-07 1252
跨站请求伪造,又称一键攻击或会话骑乘,简称CSRF (有时发音为 sea-surf)或 XSRF,是一种恶意利用网站,其中传输未经授权的命令 来自网站信任的用户。与跨站点脚本 (XSS) 不同,XSS 利用用户对特定站点的信任,CSRF 利用网站对用户浏览器的信任。这是最简单的 CSRF 攻击。如果用户仍然登录到 bank.com 的网站,这个简单的GET请求会将资金从一个账户转移到另一个账户。当然,在大多数情况下,网站可能很多控制来限制这样的请求。
HTTPS原理及实现
lanyue1的博客
01-15 1322
HTTP 是一种超文本传输协议,它是无状态的、简单快速的、基于 TCP 的可靠传输协议。 HTTP 使用明文传输,由此造成了很大的安全隐患。在网络传输过程中,只要数据包被人截获,截获人可以直接解析出数据包内的信息,从而导致重要信息(如:账号、密码)泄露,造成重大损失。由于HTTP协议存在安全风险,WebInspect安全扫描工具对统一门户、监控等web界面进行安全扫描时,会提示风险为High的“I...
WEB渗透测试之三大漏扫神器
热门推荐
pygain的博客
10-04 8万+
通过踩点和查点,已经能确定渗透的目标网站。接下来可以选择使用漏扫工具进行初步的检测,可以极大的提高工作的效率。 功欲善其事必先利其器,下面介绍三款适用于企业级漏洞扫描的软件 1.AWVS AWVS ( Acunetix Web Wulnerability Scanner)是一个自动化的 Web 应用程序安全测试工具,它可以扫描任何可通过 Web 浏览器访问的和遵循 HTTP/HTTP
web、系统扫描器
ChenTing_的博客
10-17 1234
一、你工作中用过那些系统扫描器,能说一下这些系统漏洞扫描优点缺点吗? 1. Nexpose 国外的收费产品,扫描速度快,能扫描系统层和web层2类漏洞,但web漏洞发现能力不如APPscan,系统扫描不如Nessus,总的来说功能比较全面,但不是特别拔尖 2. nessus 用于系统层扫描,扫描速度快,准确率高,漏洞规则库全面,报表功能强大,web扫描能力非常弱 二、说一下各厂商Web扫描器的优点缺点 国外的Wbe漏洞扫描器 1. AWVS 优点:漏洞扫描速度快,准确率高,漏洞规则库全面,漏洞验证
渗透测试工具之——HP WebInspect安装与使用
温柔小薛的博客
03-29 1万+
HP WebInspect 本文目录HP WebInspect安装说明使用与APPscan的区别 安装说明 HP WebInspect10.30 是一款文件大, 系统资源占用更大的扫描软件, 在安装后开机会自动启动种类繁多的服务和进程, 尽量将 WebInspect 安装在单独的虚拟机, 分配内存 3GB 以上; 确保操作系统 Windows 7 及以上; 并确保支持.Net Fra...
WebInspect
egbert2000的专栏
08-26 3023
WebInspect 9.0黑盒測試工具   http://www.xdowns.com/soft/8/19/2012/soft_99501.html 你看這種能下載來試嗎? 不過你要下載來試的時候務必要掃毒 http://download.youkuaiyun.com/tag/webinspect/track_scores/1
webinspect
最新发布
07-02
WebInspect 是一款由 PortSwigger Software 开发的专业网络渗透测试工具,它主要用于应用程序安全评估(AppSec)。WebInspect 可以帮助安全专家和开发人员识别 Web 应用程序中的漏洞,包括 SQL 注入、跨站脚本攻击 (XSS)、身份验证绕过等常见的网络安全威胁。 WebInspect 支持的功能包括但不限于: - 动态应用扫描:自动检测动态内容的漏洞,并分析 JavaScript、AJAX 和 API 请求。 - HTTP/HTTPS 协议解析:深度分析网页结构和通信过程。 - 自定义脚本插件:允许用户扩展其功能库,定制特定的安全检查或自动化任务。 - 报告生成:生成详细的测试报告,清晰展示发现的问题及其严重程度。 - 安全配置建议:提供修复措施和最佳实践指导。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值