PHP开发实战视频教程-第6讲-文件与服务器安全

北风网项目实战培训讲师：风雨（北风网版权所有)Php开发漏洞及运维安全第六讲文件与服务器安全文件上传描述浏览器会读取这个文件的文件名、文件类型(content-type)、文件的二进制内容，一并发送到服务端。后端程序一般会用POST过来的content-type来验证是否是合法的图片资源等。保存的时候，一般会使用POST过来的文件名的拓展名，或者整个文件名。这些信息都来自浏览器，严格点说，来自客户端，但不能确定构造这个HTTP包的是浏览器，或许是坏人修改了这个包。程序使用客户端提交的信息作为判断依据content-type:text/plain也改成了image/pjpeg,filename:1234.php[\0].jpg,其中\0为十六进制的00当保存的时候，文件名的null字符之后的字符串将被舍弃，只保留前面的字符。那么，这个文件会被保存成一个php的文件。DB权限只对固定web开放对于公用库，多个站点、应用都要访问的情况，建议只开放对主应用开放，其他应用走webapi+密钥方式访问。以减小风险，防止部分应用安全性较差，造成DB用户密码泄漏。同时，减小耦合度，防止因DB服务器迁移等变更，漏掉某分应用配置信息变更带来的问题。统一接口，统一控制，更好的控制各个应用规范不一，造成数据格式较为混乱的情况。服务器权限控制暴力猜解在站点登录页，不断尝试不同的用户名，密码组合，尝试登录，直到登录成功。数据库被窃取，还原用户密码一些网站会明文保存用户密码，对于这种，攻击者无需还原。多数网站会加密存储用户密码，即使数据库泄漏，恶意攻击者也需要一定的时间，精力去组合密码，加密之后与用户密码对比，确定是否正确。暴力破解与数据传输用户密码保存用户密码从最初的明文保存到后来的MD5加密一次，到二次加密，以及discuz的salt做法比较常见，对于彩虹表来说，这些或许都可以直接从彩虹表内查出原来的明文密码。建议取当前用户不变的信息进行变换，移位等方式加密。暴力破解与数据传输比如md5(user+md5(pass)+salt+系统密钥)，甚至类似身份证算法，根据用户名以及salt的字符组合，计算生成一个字符，之后到密钥里取出一个字符串，放入计算的密码中，生成密码MD5hash字符串。这样密码的安全需要用户名、用户密码、密钥字符串、系统分配的SALT、权字符算法等五个因素生成。增加了攻击者获取原始密码的难度等等。暴力破解与数据传输如何防范暴力登录不妨看下腾讯的做法。当用户输入QQ号之后，浏览器发送一个AJAX请求至服务器，服务器会判断当前QQ号此时登录的IP段(或者地理位置)是否是他经常登录的IP段，如果是，则返回此次验证码的字符串，之后JS会取返回的验证码字符串作为form表单的一个参数提交过去。如果当前QQ号此次登录不是常在的IP段，则不直接返回验证码。JS再将验证码图片显示出来。用户体验较好，安全性也较好。暴力破解与数据传输没有用户常登录IP库少量的用户登录IP库，若采用腾讯的做法，势必会使用户体验更差，计算错误，经常弹出验证码。建议初次登录不提示验证码，密码错误1次之后，再提示验证码。连续错误一定次数之后，锁定帐号一段时间，来提高用户帐号安全性。暴力破解与数据传输渗透测试工具渗透测试是一种利用模拟黑客攻击的方式，来评估计算机网络系统安全性能的方法。通常的黑客攻击包括预攻击、攻击和后攻击三个阶段；预攻击阶段主要指一些信息收集和漏洞扫描的过程；攻击过程主要是利用第一阶段发现的漏洞或弱口令等脆弱性进行入侵；后攻击是指在获得攻击目标的一定权限后，对权限的提升、后面安装和痕迹清楚等后续工作。与黑客的攻击相比，渗透测试仅仅进行预攻击阶段的工作，并不对系统本身造成危害，即仅仅通过一些信息搜集手段来探查系统的弱口令、漏洞等脆弱性信息。为了进行渗透测试，通常需要一些专业工具进行信息收集。渗透测试工具种类繁多，涉及广泛，按照功能和攻击目标分为网络扫描工具、通用漏洞检测、应用漏洞检测三类。安全扫描工具WVSAcunetixWebVulnerabilityScannerConsultantEdition是一款网络漏洞扫描工具。通过网络爬虫测试你的网站安全，检测流行的攻击,如交叉站点脚本,sql注入等。75%的互联网攻击目标是基于Web的应用程序。因为他们时常接触机密数据并且被放置在防火墙之前。它可以在被黑客攻击前扫描购物车，表格、安全区域和其他Web应用程序。安全扫描工具AppScanIBM的web安全扫描工具，工具强大。AppScan其实是一个产品家族，包括众多的应用安全扫描产品，从开发阶段的源代码扫描的AppScansourceedition，到针对WEB应用进行快速扫描的AppScanstandardedition.以及进行安全管理和汇总整合的AppScanenterpriseEdition等。360网站安全检测总结一切请求都是不安全的。编程逻辑的健壮性。确保使用组件服务器安全。课程学习地址：php视频教程：欢迎访问我们的官方网站