PHPでのピギーバッキングに関するこの記事を読んだばかりです。
私はそれをグーグルで検索しましたが、そこにはそれほど多くの情報はありません。
この種の攻撃を防ぐ方法、脆弱なコードプラクティスの種類、および何をすべきかについて、誰かに詳細を教えてもらえますか?
前もって感謝します。
4 に答える
2
その記事は、PHPに固有のものではなく、脆弱なWebアプリケーションに言及しているようです。
この前のスレッドは、安全なPHPコードの記述に関するいくつかの有用な情報を提供します。
記事の「サイトにPHPコードを挿入するためにこれらの脆弱性を使用した」部分を文字通りとると、開発者はinclude/requireステートメントまたはevalを使用したユーザー入力を使用した可能性があります。
于 2010-03-07T08:51:24.177 に答える
0
記事は特に明確ではありませんが、SQLインジェクションを使用しただけで、検出を回避するために、訪問者がGoogleから来た場合を除いて、サイトの動作を実際には変更しないスクリプトを挿入したと思います。関連する検索用語であり、著者はその状況でのリダイレクトを「ピギーバック」と呼んでいます。
したがって、すべてのユーザー入力をエスケープして検証します。
于 2010-03-07T08:52:14.890 に答える
0
BBC のニュース記事は、「persistent xss」について語っています。脆弱性について何も言及せずに、ハッキングについて話すのはニュースに任せてください。しかし、それは、bbc.co.uk が xss の脆弱性が何であるかを知らない可能性があります。.
PHP Web アプリケーションに対してリモートでコードを実行するには、さまざまな方法があります。誰もこれを「PHP インジェクション」と呼ぶべきではありません。彼らがこれを呼んだら、彼らは何について話しているのかわかりません。 A Study In Scarletは、攻撃者が PHP アプリケーションに対してリモートでコードを実行するために使用できるさまざまな方法を詳しく説明している優れた論文です。このホワイト ペーパーは、開発者ではなく、悪意のあるハッカーを対象としています。
XSS は、誰かのサイトに悪意を持って広告を配置する最も簡単で最も一般的な方法です。
于 2010-03-07T18:06:50.550 に答える