Kaip pagerinti svetainės saugumą (xss pHp)

Svetainės kūrimas reiškia, kad programuotojas turi galvoti apie saugumą, turime ne tik turėti saugų serverį, bet ir taikyti kai kurias strategijas, kurios gali padėti apsaugoti internetą. Šioje pamokoje pavyzdžiai bus naudojami PHP, tačiau jie gali būti pritaikyti kitoms programavimo kalboms.
Naudoti seanso kintamieji Ir ne iš slapukai
Viena klaida, kurią daro daugelis kūrėjų slapukai, nedideli tekstiniai failai, skirti informacijai apie mūsų užduotis saugoti internete, prieigai ir kt.
Yra slapukai galima lengvai perskaityti iš bet kurios naršyklės, pvz „Firefox“ su ugniagesiu ar viduje „Chrome“ paspaudę dešinįjį mygtuką, einame į meniu Tikrinti elementą.

Paveikslėlyje matome pavyzdį, kaip programuotojas sukūrė slapuką vartotojo prisijungimui ir viešai atskleidžia prieigos duomenis.
Šis paveikslėlis yra dar vienas blogesnis pavyzdys, kai „Google“ indeksavo prieigas su vartotojais ir slaptažodžiais.

Teisingai reikia naudoti seansus, kuriuose duomenys yra užkoduoti.

Taip atrodytų užkoduotas seanso kintamasis, daug saugesnis, nes jį sunku perskaityti:

phpsessid= sb85p15841p6l1dfg7oo8hlsc85;

Tada kiekviename ekrane tikriname sesiją kiekviename atidarytame puslapyje, manome, kad tai bus uždrausta sritis.

 [dydis = 4] [/ dydis] 

Sesijos nėra išsamus sprendimas, kaip ir kitas įsilaužimo metodas Sesijos užgrobimas arba Sesijos klastojimas. Taip atsitinka, jei užpuolikas prisijungęs skaito sesijos vertę ir bando ją pasiekti iš kito kompiuterio.
Norėdami to išvengti, galime sukurti seansus, kurie išsaugo įrangos, kurioje vartotojas yra prisijungęs, duomenis.

Naudodami ankstesnį kodą mes užmezgame sesiją, kuri išsaugo IP ir naršyklę, iš kurios buvo pasiektas žiniatinklis, tada patikriname, ar seanso metu aktyvus kas nors bando prisijungti iš kito IP ar kita naršyklė negalės pasiekti žiniatinklis

 [dydis = 4] [/ dydis] 

Kažkas panašaus į tai Facebook, jei prieinate iš kito įrenginio arba iš kito IP, esančio kitame mieste, nes tai taupo vietą, iš kurios dažnai prieinate.
XSS ir SQL įpurškimo atvejų bandymai
Vienas iš būdų surasti pažeidžiamas svetaines yra įvesti į paieškos variklį info_page.php = arba catalogo.php =

DIDELIS

Tai suteiks mums pažeidžiamų svetainių sąrašą, bet kurią svetainę, kuri baigiasi .php? Kintamasis = gali būti pažeidžiamas.
Norėdami patikrinti, ar jis yra pažeidžiamas, pavyzdiniame kintamajame įrašome URL be vertės:

mydomain.com/info_page.php?id=

Jei žiniatinklis yra pažeidžiamas, jis atsakys pateikdamas „mysql“ klaidą, kuri pasakys:

Jūsų SQL sintaksėje yra klaida; patikrinkite vadovą, kuris atitinka jūsų „MySQL“ serverio versiją, ar nėra tinkamos sintaksės, esančios šalia „“ 1 eilutėje

Jei radome domeną su šiuo pažeidžiamumu, galime išbandyti, ar radome naudotojų ar administratorių lentelę ir kiek stulpelių ji turi:

www.mydomain / info_page.php? id = -1 + union + all + select + 1,2,3, group_concat (vartotojo_vardas, 0x3a,

Vartotojas_slaptažodį), 5 + iš + administratorių

Tokiu atveju jis grąžins slaptažodį ir administratoriaus vartotoją, kad išvengtumėte SQL įvedimo, turite naudoti seansą, o ne parametrus pagal URL, jei naudojate juos, išvalykite parametrus naudodami tam tikrą funkciją ar klasę, kuri patikrina, ar nėra sql komandų, arba „javascript“ parametre, kuris siunčiamas forma arba URL.Ar jums patiko ir padėjo ši pamoka?Galite apdovanoti autorių paspausdami šį mygtuką, kad suteiktumėte jam teigiamą tašką