如何修復網站與作業系統常見之漏洞與弱點
AppScan偵測之漏洞: XSS Scripting 跨網站 Scripting
原程式加上php 提供之 function: htmlentities(),修改後之login_submit.php 內容: echo "您輸入的帳號: " . htmlentities($_POST['login']) . " 錯誤!";..
解決方法:
$password = htmlentities($_POST['password']); //Preventing XSS Scripting AttacksAppScan偵測之漏洞: SQL Injection SQL 注入
解決方法:
/etc/php.ini 有個參數: ; Magic quotes for incoming GET/POST/Cookie data. magic_quotes_gpc = On wamp/bin/php/php5.4.12/php.ini
; scheduled for removal in PHP 6. ; Default Value: On ; Development Value: Off ; Production Value: Off ; http://php.net/magic-quotes-gpc magic_quotes_gpc = On ;LINE 750
當啟用 magic_quotes_gpc 參數後,對於GET/POST 中使用者輸入之特殊字元,如單引號(')雙引號( " )、反斜線( \ ), 前面會自動再加上反斜線( \ ),此時即視同為字元。當 magic_quotes_gpc 功能開啟後,SQL 執行之語法已改變為: SELECT * FROM admin where login='davis' and passwd='\' or \'a\'=\'a'
防止SQL注入攻擊 (mysql_real_escape_string) (轉)
需修改/etc/httpd/conf/httpd.conf 將 Options 中 Indexes 字串移除:
Options IndexesMultiViews AllowOverride None Order allow,deny Allow from all
沒有留言:
張貼留言
注意:只有此網誌的成員可以留言。