江苏龙网

  1. 主页 > 生活百科 > >

PHP 安全问题入门:10 个常见安全问题 + 实例讲解( 三 )

安全PHP


5. 不充分的密码哈希大部分的 Web 应用需要保存用户的认证信息 。如果密码哈希做的足够好,在你的网站被攻破时,即可保护用户的密码不被非法读取 。
首先,最不应该做的事情,就是把用户密码明文储存起来 。大部分的用户会在多个网站上使用同一个密码,这是不可改变的事实 。当你的网站被攻破,意味着用户的其他网站的账号也被攻破了 。
其实,你不应该使用简单的哈希算法,事实上所有没有专门为密码哈希优化的算法都不应使用 。哈希算法如 MD5 或者 SHA 设计初衷就是执行起来非常快 。这不是你需要的,密码哈希的终极目标就是让黑客花费无穷尽的时间和精力都无法破解出来密码 。
另外一个比较重要的点是你应该为密码哈希加盐(Salt),加盐处理避免了两个同样的密码会产生同样哈希的问题 。
以下使用 MD5 来做例子,所以请千万不要使用 MD5 来哈希你的密码,MD5 是不安全的 。
假如我们的用户 user1 和 user315 都有相同的密码 ilovecats123,这个密码虽然看起来是强密码,有字母有数字,但是在数据库里,两个用户的密码哈希数据将会是相同的:5e2b4d823db9d044ecd5e084b6d33ea5。
如果一个如果黑客拿下了你的网站,获取到了这些哈希数据,他将不需要去暴力破解用户 user315 的密码 。我们要尽量让他花大精力来破解你的密码,所以我们对数据进行加盐处理:
<?php//warning: !!这是一个很不安全的密码哈希例子,请不要使用!!$password = 'cat123';$salt = random_bytes(20);$hash = md5($password . $salt);最后在保存你的唯一密码哈希数据时,请不要忘记连 $salt 也已经保存,否则你将无法验证用户 。
在当下,最好的密码哈希选项是 bcrypt,这是专门为哈希密码而设计的哈希算法,同时这套哈希算法里还允许你配置一些参数来加大破解的难度 。
新版的 PHP 中也自带了安全的密码哈希函数 password_hash,此函数已经包含了加盐处理 。对应的密码验证函数为 password_verify 用来检测密码是否正确 。password_verify 还可有效防止 时序攻击.
以下是使用的例子:
<?php//user signup$password = $_POST['password'];$hashedPassword = password_hash($password, PASSWORD_DEFAULT);//login$password = $_POST['password'];$hash = '1234'; //load this value from your dbif(password_verify($password, $hash)) {echo 'Password is valid!';} else {echo 'Invalid password.';}需要澄清的一点是:密码哈希并不是密码加密 。哈希(Hash)是将目标文本转换成具有相同长度的、不可逆的杂凑字符串(或叫做消息摘要),而加密(Encrypt)是将目标文本转换成具有不同长度的、可逆的密文 。显然他们之间最大的区别是可逆性,在储存密码时,我们要的就是哈希这种不可逆的属性 。
6. 中间人攻击MITM (中间人) 攻击不是针对服务器直接攻击,而是针对用户进行,攻击者作为中间人欺骗服务器他是用户,欺骗用户他是服务器,从而来拦截用户与网站的流量,并从中注入恶意内容或者读取私密信息,通常发生在公共 WiFi 网络中,也有可能发生在其他流量通过的地方,例如ISP运营商 。
对此的唯一防御是使用 HTTPS,使用 HTTPS 可以将你的连接加密,并且无法读取或者篡改流量 。你可以从 Let's Encrypt 获取免费的 SSL 证书,或从其他供应商处购买,这里不详细介绍如何正确配置 WEB 服务器,因为这与应用程序安全性无关,且在很大程度上取决于你的设置 。
你还可以采取一些措施使 HTTPS 更安全,在 WEB 服务器配置加上 Strict-Transport-Security 标示头,此头部信息告诉浏览器,你的网站始终通过 HTTPS 访问,如果未通过 HTTPS 将返回错误报告提示浏览器不应显示该页面 。
然而,这里有个明显的问题,如果浏览器之前从未访问过你的网站,则无法知道你使用此标示头,这时候就需要用到 Hstspreload 。
可以在此注册你的网站: https://hstspreload.org/
你在此处提交的所有网站都将被标记为仅 HTTPS,并硬编码到 google Chrome、FireFox、Opera、Safari、IE11 和 Edge 的源代码中 。
你还可以在 DNS 配置中添加 Certification Authority Authorization (CAA) record,可以仅允许一个证书颁发机构(例如: Let's encrypt)发布你的域名证书,这进一步提高了用户的安全性 。
7. 命令注入这可能是服务器遇到的最严重的攻击,命令注入的目标是欺骗服务器执行任意 Shell 命令
你如果使用 shell_exec 或是 exec 函数 。让我们做一个小例子,允许用户简单的从服务器 Ping 不同的主机 。


推荐阅读


上一篇:虎牙古阿扎还在直播吗 虎牙主播古阿扎怎么了

下一篇:解密微博红包:架构、防刷、监控和资源调度