緩解PHP超全域變數帶來的企業風險

本文介紹關於PHP應用程式的漏洞以及攻擊者如何利用PHP超全域變數來執行Web攻擊的消息。 並解釋一下什麼是PHP超全域變數及其帶來的風險。 498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="緩解PHP超全域變數帶來的企業風險" src="HTTP:// s2.51cto.com/wyfs02/M02/30/69/wKiom1Onk7LBNSlEAAAiOvbSays736.jpg" width="300" height="200" />Nick Lewis(CISSP， GCWN))是一名資訊安全分析師。 他主要負責風險管理專案，並支援該專案的技術PCI法規遵從計畫。 2002年，Nick獲得密歇根州立大學的電信理學碩士學位;2005年，又獲得Norwich大學的資訊安全保障理學碩士學位。 在他09年加入目前的組織之前，Nick曾在波士頓兒童醫院、哈佛醫學院初級兒科教學醫院，以及Internet2和密歇根州立大學工作。 問：我聽到了很多關於PHP應用程式的漏洞以及攻擊者如何利用PHP超全域變數來執行Web攻擊的消息。 您能否解釋一下什麼是PHP超全域變數及其帶來的風險?答：首先，我們來看一點背景知識：超文字預處理器(PHP)已經存在超過10年，它是迄今為止最重要的web應用程式程式設計語言。 它的最初設計考慮了功能與易用性。 然而，雖然PHP已經使用了這麼多年，但它有著「劣跡斑斑」的安全性漏洞記錄。 研究人員甚至創建了Hardened PHP專案來説明企業保護應用程式和網頁。 雖然我們已經發現並修復了很多PHP漏洞，但很多這些漏洞給許多常用web應用程式帶來威脅，並需要web應用程式開發人員能夠使用最新版本的PHP。 其他程式設計語言(例如微軟的Active Server Pages或者ASP)沒有這些類型的漏洞，因而不需要開發人員或系統管理人員總是使用最新版本的語言來保持應用程式的安全性，減少了升級和培訓的需求，從而降低了開發成本。 無論使用什麼程式設計語言，我們仍然需要使用安全開發實踐。 在2000年8月，PHP超全域變數被引入來禁用PHP register global功能--因為它造成了PHP和web應用程式的重大安全問題。 PHP超全域變數是PHP腳本中可用的內置變數，它可以存儲數據，這些資料可以在整個腳本中使用。 因為不安全的設計，這個棄用的功能廣泛地被攻擊者濫用。 應用程式安全供應商Imperva在其報告中描述了超全域變數帶來的風險。 其中一個風險是，超全域變數可能被輸入惡意資料，隨後這些資料可能被攻擊者以不安全的方式被利用。 兩個關鍵資訊是，正如Imperva所指出，對於任何PHP應用程式，沒有什麼理由來提供超全域參數，要求應用程式提供這些參數的請求應該被阻止。 為此，檢查以確保你的web應用程式防火牆部署了規則來自動阻止這些請求，當這種事情發生時，應該發出警報，因為這很可能是有針對性攻擊的標誌。 【編輯推薦】如何應對WEB攻擊的防護盲點Web攻擊的十大原因Web攻擊，怎麼破？ 【責任編輯：藍雨淚 TEL：（010）68476606】 原文：緩解PHP超全域變數帶來的企業風險 返回網路安全首頁