Đó là một câu hỏi đã làm nản lòng các kỹ sư phần mềm trong nhiều thập kỷ. ứng dụng phần mềm của tôi an toàn đến mức nào? . Giao diện duy nhất cho sản phẩm của bạn là giao diện người dùng được cung cấp qua trình duyệt, ứng dụng dành cho thiết bị di động hoặc dữ liệu do API dịch vụ web của bạn cung cấp. Thật không may, khi các phương tiện phần mềm hiện đại này tiếp tục phát triển thành các nền tảng tinh vi hơn, thì các lĩnh vực mà sản phẩm và dữ liệu của bạn cũng phải đối mặt với các rủi ro bảo mật tiềm ẩn, sự xâm nhập của tội phạm và hành vi trộm cắp dữ liệu.
Chúng ta sẽ khám phá trong blog này các kênh tấn công và khai thác ứng dụng PHP thường xuyên. Blog này hoàn toàn không phải là hướng dẫn chính thức về bảo mật cho ứng dụng của bạn và bạn phải luôn tham khảo ý kiến của nhóm chuyên gia bảo mật về cách thực hành tốt nhất cho môi trường ứng dụng của mình
Các cuộc tấn công thông thườngĐể bắt đầu, chúng tôi sẽ đề cập đến một số cuộc tấn công phổ biến nhất mà bạn nên biết. Hầu như tất cả các khung, thư viện và tiện ích mở rộng hiện đại đều có cơ chế tích hợp để vá các phương pháp tấn công phổ biến này, tuy nhiên chúng tôi sẽ đề cập đến chúng. Những cuộc tấn công này cực kỳ đơn giản để thực hiện và rất dễ ngăn chặn, nhưng chúng rất nguy hiểm nếu để lộ ra công chúng.
Tập lệnh chéo trang [XSS]
All the data that you present to your users are not entirely hosted by you, contrary to popular belief. Modern web applications are extremely dynamic and pull data from various sources. In some instances, your site could provide the ability for a user to leave comments via a form. From inside that form, a hacker could paste a tag pointing to a malicious script on another remote server.
Nhận xét này sau đó được lưu trong cơ sở dữ liệu, được truy xuất lại cho người dùng khác và hiển thị trong trình duyệt web của người dùng đó. Vì cuộc tấn công là HTML, nên cuộc tấn công không hiển thị khi hiển thị trên trình duyệt. Tuy nhiên, nếu bạn sử dụng lệnh view-source trên trang, bạn sẽ dễ dàng thấy Javascript nhúng đã được chèn và thực thi trong trình duyệt của bạn và mọi trình duyệt của người dùng trang web. Có khả năng hàng triệu khách hàng của bạn có thể bị xâm phạm bằng cách chạy Javascript không xác định do ứng dụng của bạn cung cấp nhưng trỏ đến một tệp từ xa khác do tin tặc kiểm soát
Further, the hacker can place more than just a tag. XSS involves , , and even
© xkcd. com
Quan tâm đến việc đạt được khả năng hiển thị từ đầu đến cuối của ứng dụng PHP của bạn? .
Omed Habib
Omed Habib là Giám đốc Tiếp thị Sản phẩm tại AppDynamics. Ban đầu, anh ấy tham gia AppDynamics với tư cách là Giám đốc sản phẩm chính để lãnh đạo sự phát triển của PHP, Node đẳng cấp thế giới của họ. js và Python APM agent. Là một kỹ sư tận tâm, Omed đã yêu thích kiến trúc quy mô web trong khi chỉ đạo công nghệ trong suốt sự nghiệp của mình. Anh ấy dành thời gian khám phá những cách mới để giúp một số công ty triển khai phần mềm lớn nhất trên thế giới đáp ứng nhu cầu về hiệu suất của họ
Bảo mật trong PHP là gì?
Bảo mật đề cập đến các biện pháp được đưa ra để bảo vệ ứng dụng khỏi các cuộc tấn công ngẫu nhiên và độc hại . hàm strip_tags được sử dụng để xóa các thẻ như khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL. khỏi dữ liệu đầu vào. chức năng filter_var xác thực và php làm sạch dữ liệu đầu vào. mysqli_real_escape_string được sử dụng để khử trùng câu lệnh SQL.
Điều gì làm cho PHP an toàn?
Làm cách nào để bảo mật tệp PHP?
Hãy bắt đầu nào. .
Cập nhật phiên bản PHP của bạn thường xuyên. .
Cảnh giác với các cuộc tấn công XSS [Cross-site scripting].
Sử dụng các câu lệnh SQL đã chuẩn bị. .
Không tải tất cả các tệp khung lên máy chủ của bạn. .
Luôn xác thực đầu vào của người dùng. .
Giới hạn quyền truy cập thư mục. .
Xác minh cấu hình SSL của bạn. .
Sử dụng mã hóa URL
Lỗ hổng PHP là gì?
PHP Object Injection là một lỗ hổng cấp ứng dụng có thể cho phép kẻ tấn công thực hiện các loại tấn công độc hại khác nhau, chẳng hạn như Code Injection, SQL Injection, Path Traversal và Application Denial of Service, tùy thuộc vào ngữ cảnh.