PHP Security Tips ja työkalut

09 heinäkuu 2009 - Arafat Rahman
Powerful Security

Tehokas turvallisuus

Luin aiheesta " php turvallisuus " avulla Google Reader . Toivottavasti se auttaa kaikkia määritellään PHP turvallisuus ja se käyttää. Haluan tässä lainata joitakin kohtia pois alkuperäisestä viesti noupe.com

PHP on most suosituin web-ohjelmointikielistä on tällä hetkellä käytössä johtuu suurelta osin siitä, että it's joustavaksi syntaksi, että can monia tehtäviä while working moitteettomasti yhdessä HTML - Plus se suhteellisen helppo oppia ja aloittelijoille, mutta se on voimakas enough edistyneille käyttäjille myös. Se toimii myös poikkeuksellisen hyvin avoimen lähdekoodin työkaluihin, kuten Apache www-palvelin ja MySQL-tietokanta. Toisin sanoen, sen monipuolisuus on ylivoimainen verrattuna muihin komentosarjakieliä, mikä kieli valita useita ohjelmoijia.

On olemassa erilaisia hyökkäyksiä, että PHP on erityisen altis. Kahta päätyyppiä hyökkäysten ihmisten hyökkäyksiä ja automatisoituja hyökkäyksiä - Molemmat jotka voivat mahdollisesti tuhota verkkosivuilla. Tavoite PHP turvallisuus on vähentää ja lopulta poistaa, mahdollisuudet sekä ihmisoikeuksien ja automatisoituja hyökkäyksiä saattamalla käyttöön strateginen muodoista poistaa pääsyn sivustoosi Vahvistamattomien käyttäjien. Miten te sisu jokseenkin Näin on tavoite yleisimmät PHP tietoturvaloukkausten ensimmäinen, niin että teet sivuston ilmatiivis hyökkäyksiä vastaan. Mitkä ovat yleisimmät PHP tietoturvaloukkausten?

Yleisimmät PHP suojausheikkoudet

1. Register_globals

Register_globals tekee kirjallisesti PHP sovellusten helppo ja kätevä kehittäjä, mutta se myös aiheuttaa mahdollinen turvallisuusriski. Tämä asetus sijaitsee PHP: n asetustiedostoon, joka on php.ini, ja se voi olla joko päällä tai pois päältä. Kun päällä, se antaa Vahvistamattomien käyttäjien pistää muuttujat hakemus saada ylläpitäjän oikeudet sivustoosi. Useimmat, elleivät kaikki, PHP tietoturva-asiantuntijat suosittelevat kääntämällä register_globals pois päältä.

Joten sen sijaan vedota register_globals, sinun pitäisi sen sijaan läpi PHP ennalta määriteltyjen muuttujien, kuten $ _REQUEST. Tiukentaa turvallisuutta, sinun pitäisi myös määritellä käyttäen: $ _ENV, $ _GET, $ _POST, $ _COOKIE tai $ _SERVER sijaan käyttämällä yleisempiä $ _REQUEST.

2. Virheiden raportointi

Virheiden raportointi on loistava väline diagnosoinnissa vioista ja jonka avulla voit korjata ne nopeammin ja helpommin, mutta se myös aiheuttaa mahdollisena turvallisuusuhkana. Ongelma ilmenee, kun virhe on muiden nähtävissä näytöllä, koska se paljastaa mahdollisia tietoturva-aukkoja ja lähdekoodia että hakkeri voi helposti hyödyntää. Jos display_errors ei ole sammutettu, tai niiden arvo on "0", lähtö näkyy loppukäyttäjälle selaimen - Ei hyvä turvallisuus! Et kuitenkaan halua asettaa log_errors käytössä, ja sitten ilmoitetaan tarkka sijainti loki error_log.

3. Cross-Site Scripting (XSS)

Cross-site scripting eli XSS, on tapa hakata kerätä sivustosi käyttäjien tiedot käyttämällä ilkeä markup tai JavaScript-koodia huijata käyttäjä tai hänen selaimensa, noudattamaan viallisen linkin tai esittää sisäänkirjautumistietojasi fake kirjautumisnäyttöön että sen sijaan, puunkorjuu niitä, varastaa heidän henkilökohtaisia tietoja. Paras tapa puolustautua XSS on poistaa JavaScript ja kuvien ja netissä surffailuun, mutta me kaikki tiedämme, että on lähes mahdotonta niin monet sivustot käyttävät JavaScript rikas sovellus ympäristö näinä päivinä.

Hyödyllinen suojaamaan XSS on hyödyllinen PHP funktio nimeltä htmlentities (). Tämä yksinkertainen toiminto toimii muuntamalla kaikki merkit html niiden vastaavia yhteisöjä, kuten "<" olisi muuntaa "<" (ilman lainausmerkkejä).

4. Remote File Inclusion (RFI)

Tämän tyyppinen hyökkäys on suhteellisen tuntematon joukossa kehittäjille, mikä tekee siitä erityisen haitallista uhka PHP turvallisuutta. Ulkoisten tiedostojen sisällyttämistä tai RFI, kuuluu hyökkäys etäältä, joka hyödyntää haavoittuva PHP sovellus ja ruiskuttaa haittaohjelmia varten roskapostia tai jopa päästä pääkansioon palvelimen. Vahvistamattomia käyttäjän pääsy kaikkiin palvelin voi purkaa suuria tuhoa verkkosivuilla monin eri tavoin, kuten väärin henkilökohtaiset tiedot tallennetaan tietokantoihin.

Paras tapa turvata sivustosi RFI-iskujen kautta php.ini direktiivit - Erityisesti allow_url_fopen ja allow_url_include direktiivejä. Allow_url_fopen direktiivi on käytössä oletusarvoisesti, ja allow_url_include on asetettu pois päältä. Nämä kaksi yksinkertaista direktiivejä riittävästi suojaa sivustoosi RFI hyökkäyksiä.

Muut PHP Tietoturvaohjelmat

- PhpSecInfo
Tämä hyödyllinen työkalu Tiivistä tietoa PHP ympäristöön, ja mikä parasta, se tarjoaa ehdotuksia parantaa virheitä. Se on ladattavissa alla "Uusi BSD" lisenssi, ja PhpSecInfo hanke etsii jatkuvasti lisää PHP kehittäjien parantaa tätä työkalua.

- PHP Security Scanner

Tämä on väline, jota käytetään kartoittaa PHP koodin haavoittuvuuksien, ja sitä voidaan käyttää kartoittaa hakemiston. PHP Security Skannerin ominaisuudet hyödyllinen käyttöliittymää paremmin visualisoinnin mahdollisia ongelmia, ja se tukee perus villi kortti hakutoiminto suodatus hakemistoja tai tiedostoja, joita hakea.

- Spike PHP Security Audit-työkalu

Spike PHP Security Audit-työkalu on avoimen lähdekoodin tehdä staattisen analyysin PHP koodia. Se etsii tietoturva-aukoille, joten voit korjata ne kehittämisen aikana.

Jaa ja Nauti:
  • Facebook
  • Twitter
  • Google Bookmarks
  • Digg
  • del.icio.us
  • MySpace
  • LinkedIn
  • Live
  • Ping.fm
  • YahooMyWeb
  • Posterous
  • Sphinn
  • Mixx
  • DZone
  • email
  • Furl
  • StumbleUpon
  • Technorati
  • TwitThis
  • Webnews.de
  • Yahoo! Buzz
  • blogmarks
  • Yahoo! Bookmarks
Posted in PHP . Tunnisteet: , , , , , , , , , , , , , , , , , , , . No Comments »

Jätä vastaus

«

»