php的攻击手法总结


PHP #攻击 #入侵2012-04-26 17:14

总结一下针对php一些攻击手法

1 是命令注入攻击 主要通过system eval passthru等这些函数 执行外部提交过来的命令()

2 客户端脚本注入攻击(注意过滤提交数据)

3 跨站脚本攻击(注意过滤提交数据)

4 sql 注入攻击(注意过滤特殊字符)

5 跨站伪造请求攻击 (检查页面来源)

6 session 劫持攻击(注意session id 的安全 如封装 更改名称等)

7 session固定攻击(不要get post获取 重新生成新的seesion id 检查来源等)

8 HTTP响应拆分攻击(使用最新版的php 就行了 或者检查http头或者sessionid)

9 文件上传攻击(限制上传条件)

10 目录穿越攻击(检查目录字符)

11 远程文件引入攻击(检查目录字符)

12 变量指定攻击 (注意检查变量)


基本就这些了 括号里面我粗略的注释了防范的方法 总的来说就要不要信任站外提交一切数据 必须按照规则检查过滤


相关文章

粤ICP备11097351号-1