• 概述Web编程的安全极其防护措施(主要针对PHP,PERL)[]


    一,危险性产生的原因

    1, Web程序上手容易,简单培训就可以写,写出来的程序自然水平参差不齐。

    2,好多人没有安全意识,你和他谈“SQL 注入”,根本不知道是什么概念。

    3,好多HTTP Scaner的出现,一下子就会自动扫描大批的网站。

    4,相信用户的输入,比如又一个name的inputbox,就单纯的以为用户只是会输入login.

    二,File System Problem

    1, ../的问题,比如 /usr/local/../../etc/passwd 就是 /etc/passwd, 如果轻信用户的输入,hacker就可以看到它不应该看到的文件。

    比如: open( "/var/conf/$usr" )

    $usr="james"; open( "/var/conf/james" );

    but $usr="../../etc/passwd", open就成了 open("/var/conf/../../etc/passwd" ) 问题就出来了。

    2,OS处理null的问题,有的OS碰到null就结束,有的则不同。看下面的例子。

    open( "/var/conf/{$usr}.ini" )

    看起来这个不会出现上面的问题了,我们换的输入。

    $usr="james", OK,什么问题也没有。

    $usr="../../etc/passwd", OK, open("/var/conf/../../etc/passwd.ini"),OK,也没有问题。

    $usr="../../etc/passwd\0", 问题就有可能出来了,看看open("/var/conf/../../etc/passwd\0.ini");

    3, PHP中的fopen()的问题

    比如,你用fopen("$usr/config.ini" )来打开一个用户配置文件,根据这个文件分配权限。

    $usr = "james"; fopen( "james/config.ini" ) OK,不错。

    但是, $usr= "http://www.hacker.org", fopen后是什么? fopen(http://www.hacker.org/config.ini),嘿嘿。

    4, Perl中的命名管道.

    open(IN, "$usr/config.ini" )

    $usr=">james", open就成了 open(IN, ">james/config.ini" ), 看明白了吧。

    三, Sql 注入

    比如这个Sql 语句,SELECT * FROM Users WHERE user='$uid' AND passwd='$password'

    看起来$uid=name, $password=passowrd,一切很好。

    如果$uid=james'-- $password=1 (Sql Server中的注释,Mysql 中用# )看看成什么了。

    SELECT *FROM Users WHERE user='james'-- AND password='1' 到这里估计都明白了,1=1就自己凑吧。

    如何Administrator用sa等权限高的用户,直接就执行 xp_cmdshell, 然后调用net里面的命令直接就可以给系统添加用户了。这个攻击性太高,就不说了。这里只是说有这个东西,具体的用"SQL注入"自己google吧。

    四,程序执行

    假设你向用nslookup来看一个www.yahoo.com,程序这样

    $host=www.yahoo.com;

    system("nslookup $host" ),这样不错。但是 $host=www.yahoo.com;cat /etc/passwd,明白的一眼就看出来了吧。

    Perl里面的 system, exec, ``, open, PHP里面的fopen, popon 都有这个问题。

    五, HTTP协议和Client本身的弱点。

    1,比如你搞了一个永不过期的COOKIE,别人就可以轻而易举的用这个cookie来通过一些东西了。

    2,轻信HTTP Header里面的任何东西,都是致命的。以前看到有人问,如何避免站内提交,答案是REFERER,其不知稍微有的Socket编程的人,自己构造一个HEADER送到你的FORM里面是轻而易举的事情。

    3,构造HTTP Form, 连checkbox, radio也不要相信,给这写东西赋值太简单了。

    4,Client乱加Javascript,我记得博客园就有过谁新改标题,导致博客园首页不显示的问题。

    5,HTTP明文传输,很多时候密码会被拦截,所以向Yahoo那样,把密码在客户端加密一下,然后再传会好一些。

    六,解决方法

    1,基本原则,不要相信如何输入的东西,所有输入的东西都check一下。怎么check,不说了。

    2,找Scaner自己scan一下你写的程序,看看那些已经存在的问题你有没有。

  • 相关阅读:
    Diffusion Particle Resolver
    GPU Jacobi Iterator
    Remark for ColorSpectrum Rendering
    关于Windows的命令行多语言输出
    DPR Sphere in Cloud
    看到一篇有意思的东西,记录一下
    GFS的系统架构
    jsp实现树状结构
    工作笔记
    批量删除
  • 原文地址:https://www.cnblogs.com/Hacker/p/28485.html
Copyright © 2020-2023  润新知