0

簡単に言えば、PHP スクリプトを使用して「private」というフォルダーをアップロードしたテスト サーバー/Web サイトがあります。プログラムの流れは、ログイン→品番検索→商品画像表示→ログアウトまたは再検索です。

将来的には、アイテム ページには特定の各アイテムに関する大量のデータベース情報が表示される予定ですが、当面は画像のみが表示されます。テスト Web サイトへのリンクは次のとおりです。

http://testserver574.hostei.com/private/login.html

私の主な質問は、セキュリティと脆弱性についてです。login.html ページには、「ProcessLogin.php」と呼ばれる php スクリプトに情報を送信するフォームがあり、間違った資格情報でログイン ページにリダイレクトされます。ユーザー名とパスワードは当分の間、そのスクリプトにハードコーディングされています。

SSL (Secure Socket Layer) を追加する以外に、これで「十分」安全ですか? ユーザーがphpコードを読めない場合、ユーザー名とパスワードをProcessLogin.phpにハードコーディングするのは安全ではありませんか?

ユーザー名とパスワードは、実際に試してみたいのであれば、推測するのはそれほど難しくありません:P しかし、それが実際のユーザー名とパスワードだったとしても、このようなログインをハッキングして画像を表示するにはどうすればよいでしょうか?

PS: ユーザー名とパスワードは同じです。誰かがこのログインを何の努力もせずにハッキングできるかどうか疑問に思っています...

編集:私のログイン機能は次のとおりです。

function login($userName, $URL) {
        session_regenerate_id(TRUE); //Security measure - create new sesion id
        $_SESSION['valid'] = 1;
        $_SESSION['userName'] = $userName;

        redirectPage($URL); //Redirect Page
    }

ユーザー名とパスワードがphpで「===」で検証された後に発生します。

4

2 に答える 2

0

セキュリティはあなたが保護しているものに関連しているため、何を保護しますか。IE で、お気に入りのスポーツ チームのリストをまとめて、ログイン画面の背後にある編集フォームを使用してインターネットに貼り付けるというシナリオを考えてみてください。SSL でこのデータを保護するのに十分でしょうか? おそらく、その情報は他の人にとっては無意味だからです。ただし、それが私の銀行口座の詳細のリストである場合は、おそらくさらに進んで、yubikey http://www.yubico.com/yubikeyなどのワンタイム パスワードの実装を検討するなど、より多くのチェックを行いたいと思います。サーバー構成を見て、サイトがホストされているサーバーのセキュリティを強化し、ログインフォームでより複雑な暗号化/復号化を確認してください。したがって、これらの画像が犬などの散歩をしている場合は、フォームに設定したセキュリティで十分です。ただし、それらが設計計画またはあなた/あなたの会社にとって非常に重要/重要なものである場合は、おそらく他のセキュリティ手順の実装を検討する必要があります.

于 2012-07-02T08:50:01.347 に答える
0

重要な問題は、ログインに何が起こるかです。ユーザーを識別するために Cookie を設定していますか? そのクッキーには何が入っていますか? そのクッキーを偽造するのはどれほど簡単ですか? その Cookie を傍受するのはどのくらい簡単ですか (ヒント: SSL を使用しない場合、かなり簡単です)? 保護されたページを開くには、有効な Cookie が必要ですか? または、URL を知っていて、チェックがまったく行われない場合は、単に「保護された」ページの 1 つに移動できますか? 保護されたページで Cookie をチェックする方法に問題があり、チェックをバイパスできる可能性がありますか? などなど...

于 2012-07-02T08:41:17.690 に答える