程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> 網頁編程 >> PHP編程 >> 關於PHP編程 >> php跨站攻擊實例分析,php跨實例分析

php跨站攻擊實例分析,php跨實例分析

編輯:關於PHP編程

php跨站攻擊實例分析,php跨實例分析


本文實例講述了php跨站攻擊的原理與防范技巧。分享給大家供大家參考。具體方法分析如下:

跨站攻擊就是利用程序上的一些細節或bug問題進行的,那麼我們要如何耿防止跨站攻擊呢?下面就以一個防止跨站攻擊例子來說明,希望對各位有幫助。

復制代碼 代碼如下:<?php
#demo for prevent csrf
/**
* enc
*/
function encrypt($token_time) {
return md5('!@##$@$$#%43' . $token_time);
}
$token_time = time();
$token = encrypt($token_time);
$expire_time = 10;
if ($_POST) {
$_token_time = $_POST['token_time'];
$_token = $_POST['token'];
if ((time() – $_token_time) > $expire_time) {
echo “expired token”;
echo “<br />”;
}
echo $_token;
echo “<br />”;
$_token_real = encrypt($_token_time);
echo $_token_real;
//compare $_token and $_token_real
}
?>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv=”content-type” content=”text/html; charset=utf-8″ />
<title>test for csrf</title>
<meta http-equiv=”" content=”" />
</head>
<body>
<form method=”post” action=”">
<input type=”text” name=”text” id=”" value=”hello” />
<input type=”hidden” name=”token” id=”" value=”<?php echo $token ?>” />
<input type=”hidden” name=”token_time” id=”" value=”<?php echo $token_time ?>” />
<input type=”submit” name=”submit” id=”" value=”submit” />
</form>
</body>
</html>
 
通過在你的表單中包括驗證碼,你事實上已經消除了跨站請求偽造攻擊的風險。可以在任何需要執行操作的任何表單中使用這個流程
當然,將token 存儲到session更好,這裡只是簡單示例下

簡單分析:

token防攻擊也叫作令牌,我們在用戶訪問頁面時就生成了一個隨機的token保存session與表單了,用戶提交時如果我們獲取到的token與session不一樣就可以提交重新輸入提交數據了

希望本文所述對大家的php程序設計有所幫助。


這個PHP文件被檢測出來跨站腳本攻擊漏洞怎修補??急急

if($rw_uid = intval($rws[0])) { $rw_uid 貌似是 因為判斷產生的 跨站腳本攻擊漏洞
舉例: $_GET['rewrite'] = '123_js';
那麼 按判斷方式 理想得到的結果是 $_GET['uid'] = 123; $_GET['do'] = 'js';

但是 如果 $_GET['rewrite'] = 'js'; 按照判斷 結果就等於 $_GET['do'] = 'js';

這是驗證不嚴格導致的 如果嚴格要求 闖入的必須是 這種格式 數字_字符串 那麼就得嚴格濾過參數
 

php網站用websaber評估有跨站腳本攻擊漏洞

防范的方式也簡單:
1、程序代碼漏洞,這需要有安全意識的程序員才能修復得了,通常是在出現被掛馬以後才知道要針對哪方面入手修復;

2、也可以通過安全公司來解決,國內也就Sinesafe和綠盟等安全公司 比較專業.

3.服務器目錄權限的“讀”、“寫”、“執行”,“是否允許腳本”,等等,使用經營已久的虛擬空間提供商的空間,可以有效降低被掛馬的幾率。

我是從事IDC行業的.以上這些也是平時工作中經常遇到的問題.希望我的回答對你有所幫助.

 

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved