国产一本一道久久香蕉下载,色偷偷噜噜噜亚洲男人,日日摸夜添夜夜夜添高潮,在线观看av无需播放器

首頁>新聞動(dòng)態(tài)>尚途學(xué)院

PHP中web頁面的安全設(shè)置相關(guān)

來源:http://jbbow.cn/ 作者:admin 瀏覽次數(shù):2171次 發(fā)布時(shí)間:2016-03-02 08:37:39 收藏:添加收藏


一、表單測試:


空白字符,控制字符,非字母數(shù)據(jù)(如符號(hào)&,*等),超長輸入(大于256個(gè)字符),留言版垃圾,二進(jìn)制數(shù)據(jù),其他編碼數(shù)據(jù)(如ASICII,UTF-8,十六進(jìn)制,八進(jìn)制等),SQL諸如,XSS


處理:設(shè)定長度規(guī)則(合法用戶不會(huì)寫小說),若能發(fā)郵件的地方只能一次一個(gè)發(fā)一人,錯(cuò)誤處理進(jìn)行重定向或錯(cuò)誤提示,


二、系統(tǒng)調(diào)用:exec(),sysetem(),backtick。


1.部署的正式環(huán)境去掉sudo命令(禁止該命令)


2.使用escapeshellcmd(),escapeshellarg()進(jìn)行轉(zhuǎn)義保護(hù)系統(tǒng)調(diào)用,


3.使用固定方式調(diào)用系統(tǒng)命令,封裝api,如將exec()來移動(dòng)文件封裝為只接受文件名的函數(shù)調(diào)用,避免直接調(diào)用,讓api功能單一,exec()帶太多額外不方便檢測,如只接受文件名的函數(shù)則更容易檢測變量是否滿足條件


4.驗(yàn)證用戶的輸入


三、緩沖區(qū)溢出:


當(dāng)載入程序后,程序會(huì)被保存在內(nèi)存中,內(nèi)存其他部分也就是緩沖區(qū),將被用來保存程序數(shù)據(jù)(作為全局變量保存)、任何程序設(shè)計(jì)的函數(shù)庫以及兩個(gè)數(shù)據(jù)結(jié)構(gòu)(堆棧和堆),堆棧是從下往上填充,若參數(shù)大于參數(shù)的緩沖區(qū)所準(zhǔn)備的空間,它將覆蓋下一個(gè)可用的內(nèi)存地址,返回地址緩沖區(qū),于是返回結(jié)果可能為一段惡意結(jié)構(gòu),


四、密碼強(qiáng)度:


1.避免任何語言的字典單詞


2.使用大小寫字母或其他字符組合


3.密碼長度大于6-8位,可以更多


4.創(chuàng)建密碼提示符代替答案,如一句話的首寫字母


5.定期修改密碼


6.是否以加密的方式存儲(chǔ)密碼


7.保存密碼的數(shù)據(jù)庫是否安全


8.若賬戶可以發(fā)送郵件,是否實(shí)現(xiàn)了驗(yàn)證碼來過濾避免自動(dòng)腳本創(chuàng)建賬戶


五、會(huì)話安全:會(huì)話固化,會(huì)話劫持,會(huì)話毒化(注入)


六、xss跨站攻擊(htmlspecialchars, strip_tags),sql注入(mysql_real_escape_string, addslashes),csrf,掛馬,危險(xiǎn)腳本(如phpinfo這種暴露版本信息),遠(yuǎn)程文件包含allow_url_include=Off,管理后臺(tái)泄露(單一入口在目錄,其他php不再web目錄),身份權(quán)限驗(yàn)證


七、apache配置:


石家莊尚途網(wǎng)絡(luò)科技有限公司


1.隱藏版本信息和http頭信息:ServerSignature Off,ServerTokens Prod,隱藏php錯(cuò)誤(php.ini expose_php = On)


2.目錄遍歷


3.將apache限制在自身目錄結(jié)構(gòu)中,http.conf設(shè)置<Directory 目錄> Order….Deny……..</Directory>,在非web目錄不能打開php腳本,比如上傳目錄不能運(yùn)行


4.關(guān)閉多于的配置和模塊


5.使用ModSecurity包過濾工具(有利有弊,如增加了開銷,還會(huì)將空格,點(diǎn)號(hào),左方括號(hào)轉(zhuǎn)換為下劃線等)


額外補(bǔ)充:


Path Traversal(目錄遍歷)


漏洞描述


目錄遍歷指的是應(yīng)用程序?qū)ξ募窂經(jīng)]有檢查導(dǎo)致服務(wù)器上的敏感文件/代碼泄漏。


安全隱患


可能會(huì)導(dǎo)致源代碼等敏感信息泄露。


修復(fù)建議


嚴(yán)格檢查文件路徑參數(shù),限制在指定的范圍。嚴(yán)格限制文件路徑參數(shù),不允許用戶控制文件路徑相關(guān)的參數(shù),限定文件路徑范圍。


在php.ini中進(jìn)行如下配置:


open_basedir = 服務(wù)器上WEB目錄的路徑(注,路徑最后需要加上斜杠作為結(jié)束),如:open_basedir = /var/www/html/


Directory Indexing(目錄泄露)


漏洞描述


應(yīng)用服務(wù)器配置不當(dāng),導(dǎo)致應(yīng)用服務(wù)器的目錄列表被展示。


安全隱患


可能會(huì)導(dǎo)致敏感信息或源代碼泄露。


修復(fù)建議


配置應(yīng)用服務(wù)器禁止目錄列表展示。


apache修改方法:


<Directory “E:/www”>下面的

Options Indexes FollowSymLinks


改成


Options  FollowSymLinks


然后


<Directory />

Options Indexes FollowSymLinks

AllowOverride None

Order deny,allow

Deny from all

</Directory>


改成


<Directory />

Options  FollowSymLinks

AllowOverride None

Order deny,allow

Deny from all

</Directory>


八、保護(hù)MySQL:


1.單機(jī)的話則關(guān)閉遠(yuǎn)程訪問或則只能固定ip訪問


2.修改管理員root用戶名且增加密碼不為空


3.為一個(gè)應(yīng)用開啟單獨(dú)的賬戶和密碼設(shè)置最小化的權(quán)限,如不能刪除數(shù)據(jù)表等


4.刪除多于的MySQL賬戶和數(shù)據(jù)庫(如test)


九、php配置php.ini:


1.safe_mod,safe_mod_gid開關(guān)


2.open_basedir,safe_mode_exec_dir


3.expose_php,register_globals,session_cookie_lifetime


4.diplay_errors


5.遠(yuǎn)程文件打開等


十、Fuzz測試:PowerFuzzer,測試工具集:CAL9000




網(wǎng)站建設(shè)首選石家莊尚途網(wǎng)絡(luò)科技有限公司,更多網(wǎng)站優(yōu)化,網(wǎng)站建設(shè)信息請(qǐng)關(guān)注:尚途科技,網(wǎng)址:http://jbbow.cn