碳基体

奋斗在产品安全第一线的安全妹子

PHP常见漏洞与安全编码



最近看了一些PHP安全编码的资料,做了一个基础的PHP常见漏洞与安全编码培训PPT,涵盖了以下十四种安全漏洞(PPT及示例源码

1.SQL注入

2.跨站脚本

3.跨站请求伪造

4.代码执行

5.命令行注入

6.文件包含(文件遍历)

7.文件上传

8.重定向

9.变量覆盖

10.会话漏洞(会话劫持,会话固定)

11.身份验证漏洞(弱口令,暴力破解)

12.权限验证漏洞

13.敏感信息泄露(列目录,暴后台,暴路径)

14.资源竞争(拒绝服务,并发处理漏洞)

在PPT中展示了各个漏洞的问题代码问题函数及相应的防御方法(防御函数)。最后推荐了两款PHP源码审计辅助工具PHPTaint与RIPS




都是比较基础的东西,在编写PPT的过程中,发现各个点都可以扩展成一本书,PPT中很多东西都没有点到,例如flash中的xss,基于DOM的xss,SQL盲注,缓冲区溢出,PHP Filter等等,待以后陆续在博客中分享。


PPT与示例参考了很多大牛的文章,PHP安全问题的研究比较早,到现在也是比较成熟的,感谢这些乐意分享的人。


参考资料:

《Essential PHP Security》

《执行漏洞总结》

《PHP漏洞全解》

来源:碳基体

评论