Thứ Ba, 14 tháng 2, 2012

B?o m?t trong PHP

H�ng ng�n v?n c�ch t?n c�ng v�o m?t website ! h�m nay m�nh xin chia s? v�i di?u si�u si�u nh? v? v�i v?n d? l?t v?t c�c b?n c� th? kh�ng d? � khi l?p tr�nh ,
  1. Khi truy?n tin tr�n m?ng ( t?c l� khi nh?n n�t submit) m�nh ph?i m� h�a c�c th�ng tin c?a m�nh b?ng c�ch m� h�a d? li?u g?i di v� s? d?ng phuong th?c truy?n SSL (m�nh cung chua r� th?ng n�y l� nhu th? n�o nhung c? bi?t th? d�) l� https://.
  2. Phuong th?c method c?a d?i tu?ng form c� 3 phuong th?c l�: POST, GET, PUT(c�i n�y th� m�nh chua d�ng bao gi?). Phuong th?c POST du?c d�ng khi truy?n d? li?u m� kh�ng ghi l?i gi� tr? ? Server v� client, c�n phuong th?c GET s? luu l?i c�c th�ng tin ? server v� client v� c�c gi� tr? m� GET truy?n di du?c luu gi? tr�n URL. Do v?y khi truy?n c�c th�ng tin qua m?ng ta n�n d�ng POST hon l� GET
  3. Th? input ki?u text d�ng khi ngu?i d�ng nh?p li?u v�o ta ph?i ki?m tra c? ? client v� server th� m?i d?m b?o du?c t�nh d�ng d?n c?a d? li?u v� tr�nh b? hacker qu?y r?i. Gi? s? ta c� form login v?i 2 � text box d? nh?p username v� password. Tr�n client ta ph?i s? d?ng javascript(ho?c VBScript) d? ngan ngu?i s? d?ng nh?p c�c k� t? d?c bi?t ( nhu d?u ',--,/*...). Khi vi?t xong h�m ki?m tra n�y th� da s? m?i ngu?i (trong d� c� c? m�nh ) d� nghi th? l� xong. Nhung hacker v?n c� th? vu?t qua du?c h�ng r�o c?a ch�ng ta b?ng c�ch View source trang login, s?a l?i code ki?m tra th�ng tin nh?p li?u sau d� save l?i v� g?i c�c gi� tr? m� hacker mong mu?n l�n server m� kh�ng b? ki?m tra g� n?a. Do d� c? ? client v� server ta d?u ph?i c� c�c phuong th?c ki?m tra d? li?u c?a ngu?i s? d?ng dua l�n. M?t di?u c?n quan t�m n?a d� l� ta ph?i gi?i h?n s? lu?ng k� t? m� ngu?i d�ng dua l�n, n?u kh�ng m?t s? ngu?i x?u t�nh s? nh?p v� s? k� t? v�o h?p text c?a ch�ng ta( h�ng ngh�n, h�ng tri?u...) d?n t?i server b? qu� t?i v� c� th? g�y h?ng h? th?ng.
  4. Th? input ki?u hidden :d�ng khi truy?n th�ng tin l�n server m� kh�ng mu?n ngu?i d�ng bi?t.C�ch l�m n�y c� l?i nhung cung c� h?i. C�i l?i ? d�y l� kh�ng gi?ng nhu GET, ta c� th? truy?n gi� tr? m� ngu?i s? d?ng kh�ng th?y du?c, nhung c�i h?i l� hacker c� th? view source v� xem du?c gi� tr? c?a ch�ng ta. Do v?y, n?u s? d?ng th? input ki?u hidden th� ta ph?i m� h�a gi� tr? c?a n� th� m?i h?n ch? du?c s? t?n c�ng c?a hacker
  5. L?i khi d�ng h�m include: khi d�ng h�m n�y ta ph?i c?n th?n v� hacker c� th? l?i d?ng d? truy c?p v�o c�c thu m?c kh�ng du?c ph�p.
    v� d? ta c� 1 do?n l�nh sau :
    $directory=$_GET['dir'];
    if($directory!="") include($directory);
    hacker c� th? nh?p do?n gi� tr? tr�n thanh URL: http://example.com/test.php?dir=../../password
    Ta c� so d? thu m?c nhu sau: root/home/test
    v?i gi� tr? nhu tr�n hacker c� th? quay ngu?c l? thu m?c g?c v� v�o thu m?c ch?a password, l�c d� th� di?u g� cung c� th? x?y ra
Người đăng: vào lúc
Nhãn: ,