问:我听到了很多关于PHP应用程序的漏洞以及攻击者如何利用PHP超全局变量来执行Web攻击的消息。您能否解释一下什么是PHP超全局变量及其带来的风险?
答:首先,我们来看一点背景知识:超文本预处理器(PHP)已经存在超过10年,它是迄今为止最重要的web应用程序编程语言。它的最初设计考虑了功能与易用性。然而,虽然PHP已经使用了这么多年,但它有着“劣迹斑斑”的安全漏洞记录。研究人员甚至创建了Hardened PHP项目来帮助企业保护应用程序和网页。
虽然我们已经发现并修复了很多PHP漏洞,但很多这些漏洞给许多常用web应用程序带来威胁,并需要web应用程序开发人员能够使用最新版本的PHP。其他编程语言(例如微软的Active Server Pages或者ASP)没有这些类型的漏洞,因而不需要开发人员或系统管理人员总是使用最新版本的语言来保持应用程序的安全性,减少了升级和培训的需求,从而降低了开发成本。无论使用什么编程语言,我们仍然需要使用安全开发实践。
在2000年8月,PHP超全局变量被引入来禁用PHP register global功能–因为它造成了PHP和web应用程序的重大安全问题。PHP超全局变量是PHP脚本中可用的内置变量,它可以存储数据,这些数据可以在整个脚本中使用。因为不安全的设计,这个弃用的功能广泛地被攻击者滥用。
应用程序安全供应商Imperva在其报告中描述了超全局变量带来的风险。其中一个风险是,超全局变量可能被输入恶意数据,随后这些数据可能被攻击者以不安全的方式被利用。
两个关键信息是,正如Imperva所指出,对于任何PHP应用程序,没有什么理由来提供超全局参数,要求应用程序提供这些参数的请求应该被阻止。为此,检查以确保你的web应用程序防火墙部署了规则来自动阻止这些请求,当这种事情发生时,应该发出警报,因为这很可能是有针对性攻击的标志。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
新libSSH漏洞可获取服务器root访问权限
隐蔽近五年的libSSH漏洞可让恶意攻击者通过SSH服务器进程轻松获取对设备的管理控制。 NCC集团安全顾问P […]
-
浏览器地址栏欺骗漏洞背后
Web浏览器的地址栏是用户查看其是否在所需网站上的一个关键指标。如果攻击者能够控制它显示的内容,则钓鱼攻击更有可能成功实施。
-
“Redirect to SMB”漏洞影响所有版本的Windows
新的“Redirect to SMB(重定向到SMB协议)”漏洞是18年前发现的一个漏洞的变种,可导致所有版本的Windows遭受中间人攻击。
-
识别漏洞与缺陷 更好的进行安全管理
现在软件安全市场中的大部分重点都放在发现和修复漏洞上,但其实软件设计和架构中的缺陷问题也占据很大比率。