PHP安全之web攻擊

標籤：int   隨機數   驗證   load   運行   常見   串連   缺陷   slist   

一、SQL注入攻擊(SQL Injection)

攻擊者把SQL命令插入到Web表單的輸入欄位或頁面請求的字串，欺騙伺服器執行惡意的SQL命令。在某些表單中，使用者輸入的內容直接用來構造（或者影響）動態SQL命令，或作為預存程序的輸入參數，這類表單特別容易受到SQL注入式攻擊。常見的SQL注入式攻擊過程類如：
1.某個Web應用有一個登入頁面，這個登入頁面控制著使用者是否有權訪問應用，它要求使用者輸入一個名稱和密碼；
2.登入頁面中輸入的內容將直接用來構造動態SQL命令，或者直接用作預存程序的參數；
例如：

$query = ‘SELECT * from Users WHERE login = ‘ . $username . ‘ AND password = ‘ . $password;

3.攻擊者在使用者名稱字和密碼輸入框中輸入‘或‘1‘=‘1之類的內容；
4.使用者輸入的內容提交給伺服器之後，伺服器運行上面的代碼構造出查詢使用者的SQL命令，但由於攻擊者輸入的內容非常特殊，所以最後得到的SQL命令變成：

SELECT * from Users WHERE login = ‘‘ or ‘1‘=‘1‘ AND password = ‘‘ or ‘1‘=‘1‘；

5.伺服器執行查詢或預存程序，將使用者輸入的身份資訊和伺服器中儲存的身份資訊進行對比；
6.由於SQL命令實際上已被注入式攻擊修改，已經不能真正驗證使用者身份，所以系統會錯誤地授權給攻擊者。
如果攻擊者知道應用會將表單中輸入的內容直接用於驗證身份的查詢，他就會嘗試輸入某些特殊的SQL字串篡改查詢改變其原來的功能，欺騙系統授予存取權限。
系統內容不同，攻擊者可能造成的損害也不同，這主要由應用訪問資料庫的安全許可權決定。如果使用者的帳戶具有管理員或其他比較進階的許可權，攻擊者就可能對資料庫的表執行各種他想要做的操作，包括添加、刪除或更新資料，甚至可能直接刪除表
防範方法：
1.檢查VARIANT 資料型別和格式
2.過濾特殊符號
3.綁定變數，使用預先處理語句

二、跨網站指令碼攻擊(Cross Site Scripting, XSS)

攻擊者將惡意代碼注入到網頁上，其他使用者在載入網頁時就會執行代碼，攻擊者可能得到包括但不限於更高的許可權（如執行一些操作）、私密網頁內容、會話和cookie等各種內容。這些惡意代碼通常是JavaScript、HTML以及其他用戶端指令碼語言。
例如：

<?phpecho "歡迎您，".$_GET[‘name‘];

如果傳入一段指令碼<script>[code]</script>，那麼指令碼也會執行。用這樣的URL將會執行JavaScript的alert函數彈出一個對話方塊：http://localhost/test.php?name=<script>alert(123456)</script>
常用的攻擊手段有：
盜用cookie，擷取敏感資訊；
利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻擊）使用者的身份執行一些管理動作，或執行一些一般的如發微博、加好友、發私信等操作；
利用可被攻擊的域受到其他域信任的特點，以受信任來源的身份請求一些平時不允許的操作，如進行不當的投票活動；
在訪問量極大的一些頁面上的XSS可以攻擊一些小型網站，實現DDoS攻擊的效果。
防範方法：使用htmlspecialchars函數將特殊字元轉換成HTML編碼，過濾輸出的變數

三、跨網站偽造要求攻擊(Cross Site Request Forgeries, CSRF)

攻擊者偽造目標使用者的HTTP請求，然後此請求發送到有CSRF漏洞的網站，網站執行此請求後，引發跨站請求偽造攻擊。攻擊者利用隱形HTTP串連，讓目標使用者在不注意的情況下單擊這個連結，由於是使用者自己點擊的，而他又是合法使用者擁有合法許可權，所以目標使用者能夠在網站內執行特定的HTTP連結，從而達到攻擊者的目的。
它與XSS的攻擊方法不同，XSS利用漏洞影響網站內的使用者，攻擊目標是同一網站內的使用者者，而CSRF 通過偽裝成受害使用者發送惡意請求來影響Web系統中受害使用者的利益。
例如:
某個購物網站購買商品時，採用http://www.shop.com/buy.php?item=watch&num=100，item參數確定要購買什麼物品，num參數確定要購買數量，如果攻擊者以隱藏的方式發送給目標使用者連結
，那麼如果目標使用者不小心訪問以後，購買的數量就成了100個
防範方法：
1、檢查網頁的來源
2、檢查內建的隱藏變數
3、使用POST，不要使用GET，處理變數也不要直接使用$_REQUEST

四、Session固定攻擊(Session Fixation)

攻擊者預先設定session id，讓合法使用者使用這個session id來訪問被攻擊的應用程式，一旦使用者的會話ID被成功固定，攻擊者就可以通過此session id來冒充使用者訪問應用程式。
例如:
1.攻擊者訪問網站http:///www.bank.com，擷取他自己的session id，如：SID=123；
2.攻擊者給目標使用者發送連結，並帶上自己的session id，如：http:///www.bank.com/?SID=123；
3.目標使用者點擊了http:///www.bank.com/?SID=123，像往常一樣，輸入自己的使用者名稱、密碼登入到網站；
4.由於伺服器的session id不改變，現在攻擊者點擊http:///www.bank.com/?SID=123，他就擁有了目標使用者的身份，可以為所欲為了。
防範方法：
1.定期更改session id

session_regenerate_id(TRUE);//刪除舊的session檔案，每次都會產生一個新的session id。預設false，保留舊的session

2.更改session的名稱
session的預設名稱是PHPSESSID，此變數會儲存在cookie中，如果攻擊者不抓包分析，就不能猜到這個名稱，阻擋部分攻擊

session_name("mysessionid");

3.關閉透明化session id
透明化session id指當瀏覽器中的http請求沒有使用cookie來制定session id時，sessioin id使用連結來傳遞

int_set("session.use_trans_sid", 0);

4.只從cookie檢查session id

int_set("session.use_cookies", 1);//表示使用cookies存放session idint_set("session.use_only_cookies", 1);//表示只使用cookies存放session id

5.使用URL傳遞隱藏參數

$sid = md5(uniqid(rand()), TRUE));$_SESSION["sid"] = $sid;//攻擊者雖然能擷取session資料，但是無法得知$sid的值，只要檢查sid的值，就可以確認當前頁面是否是web程式自己調用的

五、Session劫持攻擊(Session Hijacking)

攻擊者利用各種手段來擷取目標使用者的session id。一旦擷取到session id，那麼攻擊者可以利用目標使用者的身份來登入網站，擷取目標使用者的操作許可權。
攻擊者擷取目標使用者session id的方法:
1.暴力破解:嘗試各種session id，直到破解為止;
2.計算:如果session id使用非隨機的方式產生，那麼就有可能計算出來;
3.竊取:使用網路截獲，xss攻擊等方法獲得
防範方法：
1.定期更改session id
2.更改session的名稱
3.關閉透明化session id
4.設定HttpOnly。通過設定Cookie的HttpOnly為true，可以防止用戶端指令碼訪問這個Cookie，從而有效防止XSS攻擊。

六、檔案上傳漏洞攻擊(File Upload Attack)

攻擊者利用程式缺陷繞過系統對檔案的驗證與處理策略將惡意代碼上傳到伺服器並獲得執行伺服器端命令的能力。
常用的攻擊手段有：
上傳Web指令碼代碼，Web容器解釋執行上傳的惡意指令碼；
上傳Flash跨域策略檔案crossdomain.xml，修改存取權限(其他策略檔案利用方式類似)；
上傳病毒、木馬檔案，誘騙使用者和管理員下載執行；
上傳包含指令碼的圖片，某些瀏覽器的低級版本會執行該指令碼，用於釣魚和欺詐。
總的來說，利用的上傳檔案要麼具備可執行能力(惡意代碼)，要麼具備影響伺服器行為的能力(設定檔)。
防範方法：
1.檔案上傳的目錄設定為不可執行；
2.判斷檔案類型，設定白名單。對於圖片的處理，可以使用壓縮函數或者resize函數，在處理圖片的同時破壞圖片中可能包含的HTML代碼；
3.使用隨機數改寫檔案名稱和檔案路徑：一個是上傳後無法訪問；再來就是像shell、.php 、.rar和crossdomain.xml這種檔案，都將因為重新命名而無法攻擊；
4.單獨設定檔案伺服器的網域名稱：由於瀏覽器同源策略的關係，一系列用戶端攻擊將失效，比如上傳crossdomain.xml、上傳包含Javascript的XSS利用等問題將得到解決。

查看更多：
開發一個小程式執行個體教程
HTTP協議整理
秒殺系統設計最佳化
MySQL最佳化
Linux下常見的IO模型

PHP安全之web攻擊