注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

碳基体

http://weibo.com/tanjiti

 
 
 
 
 

日志

 
 

PHP常见漏洞与安全编码  

2013-04-10 22:03:27|  分类: web app security |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |


最近看了一些PHP安全编码的资料,做了一个基础的PHP常见漏洞与安全编码培训PPT,涵盖了以下十四种安全漏洞(PPT及示例源码
1.SQL注入
2.跨站脚本
3.跨站请求伪造
4.代码执行
5.命令行注入
6.文件包含(文件遍历)
7.文件上传
8.重定向
9.变量覆盖
10.会话漏洞(会话劫持,会话固定)
11.身份验证漏洞(弱口令,暴力破解)
12.权限验证漏洞
13.敏感信息泄露(列目录,暴后台,暴路径)
14.资源竞争(拒绝服务,并发处理漏洞)
在PPT中展示了各个漏洞的问题代码问题函数及相应的防御方法(防御函数)。最后推荐了两款PHP源码审计辅助工具PHPTaint与RIPS



都是比较基础的东西,在编写PPT的过程中,发现各个点都可以扩展成一本书,PPT中很多东西都没有点到,例如flash中的xss,基于DOM的xss,SQL盲注,缓冲区溢出,PHP Filter等等,待以后陆续在博客中分享。

PPT与示例参考了很多大牛的文章,PHP安全问题的研究比较早,到现在也是比较成熟的,感谢这些乐意分享的人。

参考资料:
《Essential PHP Security》
《执行漏洞总结》
《PHP漏洞全解》
  评论这张
 
阅读(1003)| 评论(1)
推荐

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017