译者序 2015年7月的一天,我正在Feedly上悠然的阅读,突然出现一篇博客有介绍这本书,因为说的是我当时正在关注的PHP安全,所以认真看了那篇博客,顺着博客里的链接找到了这本书的官网,看起来很靠谱,而恰好我也需要,网站上有购买链接,一直到leanpub上我都在寻找是否有中文版可以购买,但没有找到,而后在Twitter上联系了作者Ben,问他关于中文版的事,遗憾的是还没人翻译过,当时就想这本书也不长,为什么我不来翻译一下,为...
如果不做特殊处理,仅是使用PHP中原生的session的话,确实不安全。PHP只是为我们提供了一个session的实现,后续的安全工作需要程序员自己灵活去掌握,所以说PHP编程真的很灵活。 做PHP开发这么长时间,还真没有真正关注过安全的问题,每次都是以完成项目为主,最近在网上看到了一篇关于安全的文章,看完以后才注意到自己以前的项目都存在着很大的安全漏洞,于是挑了一个项目进行了测试,发现很容易就中招儿了。在这里我会分享自...
Web 应用经常需要创建一个难以被猜解的令牌,例如,会话令牌、CSRF 令牌或者在忘记密码功能中用于邮件重置密码使用的令牌。这些令牌本应该被进行加密保护,但实际中却经常被使用多次调用 rand函数并转换输出为字符串来表示。本文将展示预测使用 rand产生的令牌其实并不那么困难。 rand 是如何工作的 在 PHP 中,函数 rand 用于产生伪随机数,而初始化随机数的种子是由 srand 产生的。如果用户不选择调用 srand,那么 PHP ...
X-Frame-Options Cookie of secure and httpOnly 设置X-Frame-Options https://developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options X-Frame-Options 主要是为了防止点击劫持(clickjacking)点击劫持(clickjacking)是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。X-Frame-Options HTTP 头部字段用来指示传输的资源是否可以被包含在 或 中,服务端可以声明这...
行 51: 行 51: 以上这些常用的举措可以给Apache Server 一个基本的安全运行环境,显然在具体实施上还要做进一步的细化分解,制定出符合实际应用的安全配置方案。 以上这些常用的举措可以给Apache Server 一个基本的安全运行环境,显然在具体实施上还要做进一步的细化分解,制定出符合实际应用的安全配置方案。 - === 二、PHP安全性设置 ==...
0x00 简介和朋友聊到一个比较有意思的现象,在最近两年的校招面试中,大部分同学连一点基础的密码学知识都没有, 即便是有一些渗透功底的同学。所以这里想和大家聊一些简单的密码学基础知识,不涉及算法实现,更多的是和常见的漏洞场景联系起来,让问题更容易理解,有点抛砖引玉的意思。本文主要聊一下随机数,随机数其实是非常广泛的,可以说也是密码技术的基础。对随机数的使用不当很可能会导致一些比较严重的安全问题, 并且这些...
使用仅仅4美元的 ESP8266 iot模块做warwalking http://phasenoise.livejournal.com/2870.html 发现子域名的一些工具和方法 https://blog.bugcrowd.com/discovering-subdomains Docker ida:可以大范围的简单而快速的进行逆向工程 http://blog.intezer.com/docker-ida/ php_html_entities()中的整形溢出 https://bugs.php.com/bug.php?id=72135 从编程指南的视频中提取出代码 http://www.cs.technion.ac....
2、 验证 数据 PHP原生实现 验证输入数据也很重要,与过滤不同,验证不会从输入数据中删除信息,而只是确认用户输入是否符合预期。如果输入的是电子邮件地址,则确保用户输入的是电子邮件地址;如果需要的是电话号码,则确保用户输入的是电话号码,这就是验证要做的事儿。验证是为了保证在应用的存储层保存符合特定格式的正确数据,如果遇到无效数据,要中止数据存储操作,并显示相应的错误信息来提醒用户输入正确的数据。验证还能...
PHP 转义 实现 把输出渲染成网页或API响应时,一定要转义输出,这也是一种防护措施,能避免渲染恶意代码,造成XSS攻击,还能防止应用的用户无意中执行恶意代码。 我们可以使用前面提到的 htmlentities 函数转移输出,该函数的第二个参数一定要使用 ENT_QUOTES ,让这个函数转义单引号和双引号,而且,还要在第三个参数中指定合适的字符编码(通常是UTF-8),下面的例子演示了如何在渲染前转义HTML输出: ';echo html...
http://esevece.github.io/2016/06/01/taking-over-heroku-accounts.html 接管Heroku账号 https://www.nccgroup.trust/globalassets/our-research/us/whitepapers/2016/june/container_whitepaperpdf/ linux容器的权限和非权限的滥用 https://bogner.sh/2016/03/mitm-attack-against-keepass-2s-update-check/ 通过中间人攻击,可以在keepass更新时,获取明文 http://blog.talosintel.com/2016/06/ropmemu.html ...
刚毕业进入一家互联网公司 ,看以前的代码存在很多安全隐患,比如看js代码,可以通过ajax发送一些请求,来完成一些操作。 现在有什么方法可以提高我代码的安全性,有没有什么书或者工具可以推荐? 多谢!回复内容: 推荐几个:高级PHP应用程序漏洞审核技术 [https://code.google.com/p/pasc2at/wiki/SimplifiedChinese]Php Codz Hacking [http://www.80vul.com/pch/]Some Of Discuz! Bugs [http://www.80vul.com/dzvul/]80Vul [htt...
都说 Java 比 PHP 稳定安全,可维护性好,为什么啊,难道就因为 sun 公司提供的一系列的技术支持?难道像阿里那种电商就不能 PHP?如果阿里用 PHP 较之 Java 会出现哪些问题?本人入 PHP 只有一年时间,参与过类似搜房的房地产网站开发,做过几款 App的接口,目前兼职参与搭建一个多用户的电商平台。之前在学校只懂 Java 皮毛。 感觉 PHP 好的,真搞不懂 PHP 哪里不如 Java 安全稳定。回复内容: 这东西完全看人。。。那些说,java因为...
请教有经验的PHP老鸟,程序的安全性!?讨论下开发PHP网站,除了操作系统和WEB服务软件,在程序本身安全方面应该注意那些 记得第一次给客户做的小站1个月就被坏蛋给黑了,检查发现居然在首页最下边被加了个 xxx ,结果就是老弹广告。就可能是因为程序漏洞造成的。 还有听说工行的网站被恶搞,等等。 谢谢拉 ! ------解决方案--------------------呵呵,大家来点实际的 /* *防注入处理 */ if(!get_magic_quo...
网络安全协议现在的网络无所不能,那在查询信息的时候要保证其信息的安全性和保密性,有RSA算法,但是椭圆曲线加密的效率更高,但他是不是可交换的呢?有没有人证明呢?还有没有更好的可交换加密函数?谢谢------解决方案--------------------通常的做法就是 走SSL.. ------解决方案--------------------shuo qing chu ------解决方案--------------------探讨通常的做法就是 走SSL..
php站点安全测试麻烦大家帮忙看下dwap.boy5.cn这个手机站点安全么?如果不安全请补充下------解决方案--------------------已经非常安全了。 ------解决方案--------------------没有绝对的安全 ------解决方案--------------------访问首页,说XML解析错误,未组织好 ------解决方案--------------------你挂在一个黑客论坛上试试!不出2个小时,……(后果我就不说了) ------解决方案--------------------每人恶意攻击,代码比较...