Google
PHP 其他

[PHP][Linux] PHP安全性加強 抵擋 駭客 存取 linux 下的 /etc/password

作者: phptw  日期: 2008-06-25 23:24

字體大小:

近日公司部份客戶發現有被hacker 嘗試的 存取 linux 下的 /etc/passowrd 檔,請參照下圖

attachments/200806/9567811677.jpg

很明顯的看到是在要取得 password 檔的內容,另外在從MySQL資料庫中也發現到

看到這幾筆資料 , 就覺得有問題了:

| 44 | `cat /etc/passwd`                                                                  | y     |
| 45 | cat /etc/passwd                                                                    | y     |
| 46 | ;cat /etc/passwd;                                                                  | y     |
| 47 | |cat /etc/passwd                                                                   | y     |
| 48 |  cat /etc/passwd                                                                   | y     |
| 49 | <cat /etc/passwd                                                                   | y    |
| 50 | ../../../../../../../../etc/passwd                                                 | y      |
| 51 | ../../../../../../../../etc/passwd                                                 | y      |
| 52 |  ../../../../../../../../etc/passwd                                                | y      |
| 53 | ../../../../../../../../etc/passwd .html                                           | y    |
| 54 | ../../../../../../../../etc/passwd .jpg                                            | y     |
| 55 | .\\./.\\./.\\./.\\./.\\./.\\./etc/passwd                                           | y      |
| 56 | /etc/passwd                                                                        | y      |
| 57 | /./././././././etc/passwd                                                          | y      |
| 58 | ..\..\..\..\..\..\..\..\etc/passwd                                                 | y      |
| 59 | ../..//../..//../..//../..//../..//../..//../..//../..//etc/passwd                 | y      |
| 60 | ../.../.././../.../.././../.../.././../.../.././../.../.././../.../.././etc/passwd | y      |
| 61 | <../../../../../../../../etc/passwd                                                | y     | 

 
由於是前人遺留下來的程式....所以還是需要花點時間去處理。
處理的方式有很多種
 
1.在寫程式時針對一些欄位需要在html 端檢查機制,例如 email 手機等..
   以增強安全性
 
 
2.不過厲害一點的hacker 或 hacker 軟件還是知道怎麼避開html 端的檢查機制
    還是需要程式端進行處理,原則上 linux 下的 /etc 目錄 (/etc 下是存放 linux 的config 設定檔 ) 是不被 web owner access 的,利用這個特點去檢查
    下面代碼會檢查 是否有/etc 目錄 有的話會強制 將 值回傳 boolean false
 
 
3.另外如果 已知一些變數的 型態 為特定的 例如 int 、boolean 、string 的話
   請將這些值強制的型態強制轉換
    
  例如有一個url http://www.iware.com.tw/pro.php?cid=20   
    
  程式寫法為 (int)$_REQUEST[cid]
  或
  intval($_REQUEST[cid])
 
 
  (int)$_REQUEST[cid] 的值會變成0 這樣也可以抵擋攻擊
引用通告地址: 點擊獲取引用地址
標籤: PHP php實例 程式設計 linux
評論: 1 | 引用: 0 | 閱讀: 2093
加入書籤: HemiDemi MyShare Baidu Google Bookmarks Yahoo! My Web Del.icio.us Digg technorati furl 加入此網頁到:YouPush
顯示Tag關聯文章
F2Cont 1.1 Build 090726 正式版 (2009-07-26 19:31)
F2Cont 1.0 Beta 090628 8盎司非力牛 版 (2009-06-28 17:39)
F2Cont 1.0 Beta 060624 6盎司非力牛 版 (2009-06-24 15:10)
[PHP][PHPExcel] PHPExcel讀檔案記憶體不夠 Fatal Error Allowed memory size of xxx (2009-03-20 10:57)
[轉載] 高性能網頁開發新20條規則詳解 (2009-02-26 11:21)
[Linux][CentOs] 續 proftpd + MySQL + virtual user @CentOs5 (2008-12-12 10:24)
[F2cont] F2.Cont Ver 1.0 Beta 1202 版本发布 (2008-12-02 23:12)
[F2cont] F2.Cont Ver 1.0 Beta 1201 版本发布 (2008-12-01 21:56)
[F2blog] F2blog 主程式下載 1.2 版 build 0310 (2008-11-24 14:19)
[PHP][MySQL] MySQL 資料區分大小寫 (2008-10-30 18:28)
[PHP] 取得副檔名的方法 (2008-09-01 11:24)
[PHP] [Array] 如何刪除索引陣列中的值 (2008-08-26 13:58)
F2Blog 外掛&插件 顯示台灣BloggerAds 廣告 安裝方式 (2008-07-12 15:33)
[Linux][PHP] ionCube loader 和 Zend Optimizer 共存 (2008-07-02 20:32)
[Linux] 防 ssh 暴力攻擊 使用iptables & shell @ CentOS (2008-06-30 22:06)
[Linux] iptables for VPS 主機 @CentOs (2008-06-30 21:59)
[Linux][CentOs] proftpd + MySQL + virtual user @CentOs5 (2008-06-19 22:53)
[JavasSript] 將 url 的參數打包成 php 的 $_GET array (2008-05-30 11:09)
[序][PHP] PHP 程式設計標準 (2008-05-16 12:02)
[PHP] [PHP100例] No.44 調用文本文件內容 (2008-05-15 12:02)
發表評論
暱 稱(*): 密 碼:
網 址: E - mail:
驗證碼(*): 驗證碼圖片 選 項:
頭 像:
內 容(*):