安全

分类下相关文章

网站生产环境禁用掉 .git 目录的访问

这个一个严重的安全问题。如果允许访问 .git 目录,那么打开你的网站,拼接出 .git/config 文件所在地址,会发现 config 文件立马被下载到了本地,如果你的密码写在了里面,恭喜你 https://accout:password@github.com/project ... 再或者,拼接出 .git/logs/HEAD 文件地址,会看到提交的信息。 解决办法 Nginx 上将 .git 目录禁止访问 location ~ /\.git { deny all; } 更彻底的方法,最好将所有的隐藏目录都禁用掉 # or, all . directories/files in ...

阅读全文...

PHP mysql_query SQL 注入预防措施

目前维护的一套 ecshop 系统,由于使用的是 PHP 5.2 加之历史遗留代码安全意识淡薄,所以存在诸多 SQL 注入的隐患(大量拼接 SQL 字符串的行为)。而我入门 PHP 是通过 Laravel 官方教程开始的,没有写过原生 PHP SQL 查询,对如何规避 SQL 注入一无所知。 首先看一下 PHP 官方文档 mysql_query — Send a MySQL query This extension was deprecated in PHP 5.5.0, and it was removed in PHP 7.0.0. Instead, the MySQLi or P ...

阅读全文...

一次 PHP 网站被黑的经历

昨天同事发布新功能的时候,发现项目目录下多了两个新的目录。 /html /news 里面是随机字符串命名的 php 文件。看了代码的确不是我们写的,第一反应,我们被黑了! 第一时间的处理措施 排查 Nginx 日志,通过访问 html, news 目录定位可疑 IP, 然后通过历史 log 定位可疑文件 将恶意代码目录,可疑 gif 文件,及 Nginx 日志打包下载 删除恶意代码目录, 及 gif 文件 在阿里云防火墙上屏蔽到恶意 IP 确认是否还存在恶意访问 第二天早上8点又登录服务器确认了一下恶意请求是否还存在 123.126.113.91 - - [16/Feb/2017:16 ...

阅读全文...

Web 安全

Quick Links 全球 IPv4 地址归属地数据库 黑客是怎样入侵你的网站的 SQL 注入问题 一定要确定单引号被转义过了。 https://github.com/sqlmapproject/sqlmap 域名反查 IP http://sameip.org/ web 服务需要注意的 隐藏版本号。例如,Nginx 隐藏目录结构 debug 关闭 static + 相对目录造成代码或者配置文件泄漏 JSON hijacking/JSON 劫持漏洞 hijacking - 劫持 Javascript 获取服务端用户数据的方式分两种 同域下使用 ajax 请求即可 跨域时使用 ...

阅读全文...