PHP Webアプリケーションへのセキュリティ攻撃
Phpアプリケーション(html、php、js)に対するセキュリティ攻撃について知っています。
- XSS
- SQLインジェクション
- CSFR
- セッションハイジャック/修正
- コードインジェクション
リモートファイルインジェクション
他のことを知っているべきですか、それとも見逃したことがありますか?
はい、間違いなくもっとたくさんあります。 OWASP Top 1 について読むことから始めることをお勧めします。すべてのWeb開発者は、これらの脅威の各カテゴリに精通している必要があります。
さらに、ここにWebセキュリティのいくつかの良い紹介があります:
- 開発者向けの優れた概要 -これは、Web開発を行うすべてのプログラマーにとって必読です。
- Google Code UniversityのWebセキュリティチュートリアル
追伸パストラバーサル、セッション管理、安全なパスワードストレージ、クリックジャッキング、フィッシング、サイト全体のSSLなど、確実に知っておくべきその他のカテゴリ。
SANSは 上位25の危険なソフトウェアエラー のリストを毎年発行しています。これらのいくつか(またはそれ以上)は、アプリケーションに関連します。
SANSまたはOWASPリストに記載されていない他の脆弱性が製品に存在する可能性がありますが、これらは開始するのに最適な場所です。攻撃者は非常に一般的であるため、攻撃者(スクリプトキディを含む)および研究者は、ここで見つかった脆弱性を非常に迅速に見つけて悪用することができます。これは、コード内のこれらの脆弱性を試し、特定し、それらを解決する方法、支援するツールがあるかどうか(または必要な場合)、およびそのような作業を開発サイクルにどのように組み込んで確実にするかを検討することも素晴らしい練習です。脆弱性は再導入されません。
ある時点で、自分で打ち消して、アプリケーションを具体的に調べる必要があります。ユーザーがアプリをどのように使用し、「あなたの」攻撃者がアプリを悪用したかを調べることで、ドメインに固有の問題を見つける唯一の方法です。
たぶん この投稿を見てください 。
さらにいくつかのポイントが表示されます(owaspトップ10にも記載されていません)
- リモートコード実行 -php.ini/disable_functionsを使用して軽減できます
- [〜#〜] dos [〜#〜]