網頁設計PHP站點安全檢測和防範

網頁設計PHP站點安全檢測和防範

發佈者:作者:Web Design香港網頁設計大皇 - 網站設計

Web Design 　　大家好，我是夜風來襲 QQ598732859是A5安全小組技術部成員，網站的運行安全肯定是每個站長必須考慮的問題，大家知道，大多數黑客攻擊網站都是採用sql注入，這就是我們常說的為什麼最原始的靜態的網站反而是最安全的。 　　今天我們講講PHP注入的安全規範，防止自己的網站被sql注入。首先我分析了這站的幾個頁面 　　http://webdesign.zoapcon.comcom/show.php?id=2227 　　http://webdesign.zoapcon.comcom/show.php?id=2314 　　通過最簡單的and 1 //and2 這樣的注入,我並沒有發現問題,但是經過一段時間的研究就發現這站可以注入,具體注入點為http://webdesign.zoapcon.comcom/show.php?id=2014%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12/*　然後通過探針可以看到http://webdesign.zoapcon.comcom/test.php探針文件. 　　又發現個注入點http://webdesign.zoapcon.comcom/show.php?id=1594%20or%201=1,換回思路我們可以得知當前數據庫*****weekly 還有個***chn,數據庫目錄/usr/local/mysql/ 數據表目錄/usr/local/mysql/var/,apache目錄/usr/local/apache 　　通過以上目錄找到後台為 http://admin.***weekly.com,把admin加在玉米的前面真是無語,再上CMD5進行解密我們可以知道密碼為123456 帳號則為WCC,然後我們登陸後台 得到後台以後我們再分析它的模板配置,得知模板全局配置文件為/var/www/***weekly/frame/global.inc.php,由模板配置文件得出/var/www/***weekly/frame/config/db.config.php為數據庫連接文件. 　　http://****weekly/manage_channel/templet/page_create.php?PageType=Struct&PageID=209&StructID=84 　　'dbServer'=>'localhost', 　　'dbUser'=>'root', 　　'dbPwd'=>'******chn', 　　'database'=>'***weekly', 　　84]/var/www/**weekly/www///index.html [Use Time: 0.508s][查　看] 　　[重新生成] [關閉窗口] 　　現在已經得到後台了 而本篇文章也只是為了使廣大站長提高認識，加強防禦各位站長如果自己的站也是這類型的話 只要在網站程序上 進行加密，後台地址進行修改，帳戶盡量別用規則帳戶，最重要的就是加防止注入的代碼了,關閉display_error。 並對所有的輸入轉義，輸出反轉義。(防sql注入)如果服務器允許就盡量用SESSION，別用COOKIE，不關緊要的信息保存到COOKIE裡也要加密哦。用MCrypt加密還比較不錯了. 　　如果有不懂的地方請咨詢admin5的代維技術小組。http://safa.admin5.com 　服務器與網站安全技術交流講座官方群號：１27805343 ２84814264 ３75927060 ４84815626 ５84815663 ６40702240 超級群(17696688) Web Hosting