锐客网

  1. 首页 > 生活百科 > it技术 > >

php攻击网站数据库 php常见攻击

IT技术代码

PHP的网站主要攻击方式有哪些1、命令注入(Command Injection)
2、eval注入(Eval Injection)
3、客户端脚本攻击(Script Insertion)
4、跨网站脚本攻击(Cross Site Scripting, XSS)
5、SQL注入攻击(SQL injection)
6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
7、Session 会话劫持(Session Hijacking)
8、Session 固定攻击(Session Fixation)
9、HTTP响应拆分攻击(HTTP Response Splitting)
10、文件上传漏洞(File Upload Attack)
11、目录穿越漏洞(Directory Traversal)
12、远程文件包含攻击(Remote Inclusion)
13、动态函数注入攻击(Dynamic Variable Evaluation)
14、URL攻击(URL attack)
15、表单提交欺骗攻击(Spoofed Form Submissions)
16、HTTP请求欺骗攻击(Spoofed HTTP Requests)
为什么我在入侵PHP网站的MySQL数据库时,字段数才1就暴错了,什么原因啊......该网站可能有了一定的入侵检测,例如过滤一定的特殊符号等
或是对非法查询进行处理,例如 , 不能在特定页面对关键表查询等
PHP+ SQLserver的网站已经被入侵过数据库 , 我以后要防注入,应该怎么办相数据库连接畅掸扳赶殖非帮石爆将文件加入防注入代码 , 或者给网站换一个防注入的系统(网上很多) , 弄个一流信息拦截(M的,以前上传ASP马就被他拦截过)对网页的文件要注意变量的过滤,或者完全用
静态页面
 , 虽然更新比较麻烦
php漏洞怎么修复近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句 , 对网站的数据库,以及后端服务器进行攻击 , 该metinfo漏洞影响版本较为广泛 , metinfo6.1.0版本 , metinfo 6.1.3版本,metinfo 6.2.0都会受到该网站漏洞的攻击 。
metinfo建站系统使用的PHP语言开发 , 数据库采用的是mysql架构开发的,在整体的网站使用过程中,简单易操作,可视化的对网站外观进行设计,第三方API接口丰富,模板文件较多,深受企业网站的青睐,建站成本较低可以一键搭建网站,目前国内使用metinfo建站的网站数量较多,该metinfo漏洞会使大部分的网站受到攻击影响,严重的网站首页被篡改 , 跳转到其他网站,以及网站被劫持跳转到恶意网站上,包括网站被挂马 , 快照被劫持等情况都会发生 。
关于该metinfo漏洞的分析,我们来看下漏洞产生的原因:
该漏洞产生在member会员文件夹下的basic.php代码文件:
metinfo独有的设计风格,使用了MVC框架进行设计,该漏洞的主要点在于使用了auth类的调用方式,在解码加密过程的算法中出现了问题,我们再来看下代码:
通常加密,以及解密的算法是不可以可逆的,但是metinfo写的代码可以进行伪造函数值进行逆算,我们看这个构造的恶意函数,这里的key值是从前端met_webkeys值里进行获取,将获取到的webkeys值进行写入,并赋值到配置文件里,config目录下的config_safe.php代码里 。我们通过查看这个代码 , 发现写入的值没有办法进行PHP脚本的执行,本来以为可是伪造key值进行写入木马 , 发现行不通 , 但是在这个伪造key值的过程可以进行sql注入攻击,采用是延时注入方式进行
关于metinfo漏洞的修复建议,以及安全方案
目前metinfo最新版本发布是2019年3月28日,6.2.0版本,官方并没有针对此sql注入漏洞进行修复,建议网站的运营者对网站的后台地址进行更改,管理员的账号密码进行更改,更改为数字+字符+大小写的12位以上的组合方式,对网站的配置文件目录进行安全限制,去掉PHP脚本执行权限,如果自己对代码不是太熟悉,建议找专业的网站安全公司来处理修复漏洞,国内SINE安全,以及绿盟 , 启明星辰,都是比较不错的网站漏洞修复公司 。

推荐阅读


上一篇:新媒体运营如何给账号做分析,新媒体运营如何给账号做分析工作

下一篇:游戏本桌面待机温度低,笔记本待机温度