最近一直處於攻防的泥沼裡面。當然我能做的就是防護,我沒有能力也不會去攻擊任何人!
首先交代背景:一套所謂的開源代碼程序,在線上運營!當然沒有二次開發(重點,要考),我也只是受人之託,來幫看看!
總結這幾天我都經歷了哪些攻擊:
(1)字段通過url傳遞,直接修改數據庫(坑1)
(2)XSS攻擊(坑2)
(3)能登陸後臺,添加管理員賬號(坑3,最大的坑)
(4)DDOS攻擊,這個交給了廠商
下面來說我的解決方案:
第(1)問題我是通過binlog日誌找到的坑,在上一篇文章已經寫了一篇,感興趣的可以看看
第(2)個問題大家百度網上一大堆解決方案:過濾用戶輸入的 檢查用戶輸入的內容中是否有非法內容。如<>(尖括號)、”(引號)、 ‘(單引號)、%(百分比符號)、;(分號)、()(括號)、&(& 符號)、+(加號)等。、嚴格控制輸出,代碼給大家寫在了下面
<code>function replace_specialChar($strParam)
{
$regex = "/\\/|\\~|\\,|\\。|\\!|\\?|\\“|\\”|\\【|\\】|\\『|\\』|\\:|\\;|\\《|\\》|\\’|\\‘|\\ |\\·|\\~|\\!|\\@|\\#|\\\\$|\\%|\\^|\\&|\\*|\\(|\\)|\\_|\\+|\\{|\\}|\\:|\\|\\?|\\[|\\]|\\,|\\.|\\/|\\;|\\'|\\`|\\-|\\=|\\\\\\|\\|/";
return preg_replace($regex, "", $strParam);
}/<code>
第(3)個問題是最坑的,居然加了一個超級管理員,emmmm,我就有點慌了,這頂級坑啊。當然代碼千千萬萬,我使用了一個簡單快捷的方法
1.敏感操作加了一個密碼,不輸入密碼不能操作數據(被逼無奈)
2.限制ip登陸,不是白名單ip,無權限訪問服務器後臺程序
3.登陸後臺加一個口令,無口令用戶強制退出
至於第(4)條,我就交給服務器廠商了
至於還有哪些坑等待我來填,目前還不能確定,我目前還是一名守護者,出現問題第一時間解決問題!
分享到:
閱讀更多 思夢PHP 的文章
