ハッカー (またはスクリプト キディー) が、ウェブサイトのコードベースのリークを利用して、私のウェブサイトを攻撃したと思います。データベース内の投稿が変更され、次の html が含まれるようになりました。
<meta http-equiv="refresh" content="0;url=http://example.com"/>
しかし、今はシステムを書き直すことはできません。このような状況が今後起こらないようにするための戦略は何ですか?
特定のドメインへのアクセスを許可するサブドメインに管理スクリプトを移行することを考えています。または、mod_security SecFilterScanPOST を使用して、http-equiv などを含むすべての投稿要求をスキャンします。または、サーバーまたはそれらすべてからの投稿要求のみを許可しますか?
ありがとうございました。
最初のステップは、コードが挿入された場所を調査することです。これは、ルート句が何であるかを特定するのに役立つ場合があります-
Web サイトがデータベースからコンテンツを取得し、挿入されたタグがデータベース コンテンツの一部として取得される場合、そのサイトには SQL インジェクションの欠陥またはその他の脆弱性があり、攻撃者がコンテンツを変更できる可能性があります。
タグがすべての PHP ファイルにある場合、攻撃者がファイル システムにアクセスできることを意味します。彼があなたの FTP、telnet、またはその他の管理コンソールにアクセスできるか、攻撃者が Web サイト上のファイルを変更/作成できる脆弱性が Web サイトに存在します。
また、攻撃者からのアクセスを許可する脆弱性がサーバーに存在する可能性もあります。
根本原因を特定したら、それに応じて修正します =)
同じことが再び起こらないようにするための一般的なアドバイスを次に示します。
コード レビュー、侵入テスト、自動スキャンのいずれかによって、Web サイトとサーバーの脆弱性を確認し、それに応じて修正します。
アップデート、修正プログラム、セキュリティ パッチを速やかにインストールします。それを更新、更新、更新、更新してください...
ファイル システムに適切なフォルダ アクセス許可 (読み取り/書き込み、読み取り専用、アクセスなし) を割り当て、必要な権限のみをユーザーに付与します (最小権限の原則)。
サードパーティ コンポーネント (Wordpress/Joomla プラグインなど) を使用する場合は注意が必要です。発行元を信頼する場合にのみ使用してください。メインサイトからのみダウンロードしてください。それらも最新の状態に保つことを忘れないでください。必要に応じて無効にして削除します
FTP、Telnet、データベース管理コンソール (例: phpMyAdmin) などの管理コンソールおよびサービスへのアクセスを制限します。それらには適切なパスワードを割り当てます。最善の方法は、承認された人以外がアクセスできないようにすることです (たとえば、ファイアウォールまたは構成で設定された IP 制限を使用するか、VPN の背後に隠します)。
This is a lazy solution if you do not want to escape your data while reading from db (which you should).
function escape_deep(&$value)
{
$value = htmlspecialchars($value);
}
array_walk_recursive($_GET, 'escape_deep');
array_walk_recursive($_POST, 'escape_deep');