今天突然想到了这个话题。那么,有一部分读者可能并不会很理解我的意思防御式编程:客户提出什么问题,我们就解决什么问题。攻击式编程:主动发现问题,其中有一部分问题是性能优化问题,一部分是客户未能发现的BUG。以尽快的方式解决问题。 真实场景:一个功能被做出来了,开发人员于是试了一遍,觉得功能已经出来了....
分类:
其他好文 时间:
2014-07-15 08:44:02
阅读次数:
198
本文主要介绍针对PHP网站常见的攻击方式中的命令攻击。Command Injection,即命令注入攻击,是指这样一种攻击手段,黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态 生成的内容。使用系统命令是一项危险的操作,尤其在你试图使用远程数据来构造要执行的命令...
分类:
Web程序 时间:
2014-07-14 09:45:30
阅读次数:
289
本文主要介绍针对PHP网站的客户端脚本植入攻击方式。所谓客户端脚本植入攻击,是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对象内。当用户打开这些对象后,黑客所植入的脚本就会被执行,进而开始攻击。客户端脚本植入(Script Insertion),是指将可以执行的脚本插入到表单、图片、动画或...
分类:
Web程序 时间:
2014-07-14 09:34:36
阅读次数:
346
本文主要介绍针对PHP网站文件上传漏洞。由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件,并能够将这些文件传递给 PHP解释器,就可以在远程服务器上执行任意PHP脚本,即文件上传漏洞。一套web应用程序,一般都会提供...
分类:
Web程序 时间:
2014-07-14 09:32:46
阅读次数:
375
本文主要介绍针对PHP网站的跨网站请求伪造。在CSRF所有攻击方式中包含攻击者伪造一个看起来是其他用户发起的 HTTP 请求,事实上,跟踪一个用户发送的 HTTP 请求才是攻击者的目的。CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者...
分类:
Web程序 时间:
2014-07-14 09:29:12
阅读次数:
287
本文主要介绍针对PHP网站HTTP响应拆分,站在攻击者的角度,为你演示HTTP响应拆分。HTTP请求的格式1)请求信息:例如“Get /index.php HTTP/1.1”,请求index.php文件2)表头:例如“Host: localhost”,表示服务器地址3)空白行4)信息正文“请求信息”...
分类:
Web程序 时间:
2014-07-14 09:28:35
阅读次数:
288
本文主要介绍针对PHP网站的SQL注入攻击。所谓的SQL注入攻击,即一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。SQL注入攻击(SQL Injection),是攻击者在表单中提交...
分类:
数据库 时间:
2014-07-14 09:27:56
阅读次数:
293
本文主要介绍针对PHP网站常见的攻击方式,包括常见的sql注入,跨站等攻击类型。同时介绍了PHP的几个重要参数设置。后面的系列文章将站在攻击者的角度,为你揭开PHP安全问题,同时提供相应应对方案。针对PHP的网站主要存在下面几种攻击方式:1、命令注入(Command Injection)2、eval...
分类:
Web程序 时间:
2014-07-14 09:22:12
阅读次数:
308
什么是上传漏洞?我的理解是由于程序员未对上传的文件作过滤或者过滤机制不严格,导致恶意用户可以上传动态脚本页面,从而通过上传的这张脚本页面达到控制网站权限的目的。我们简单来说下什么叫做过滤机制不严格:比如一个网站只支持ASP脚本,在上传功能中程序员对此的过滤策略是“取得客户端文件名中最后一位小数点后的...
分类:
其他好文 时间:
2014-07-13 20:48:14
阅读次数:
290
