Varidata 新闻资讯
知识库 | 问答 | 最新技术 | IDC 行业新闻Varidata 知识文档
你看得到PHP的漏洞吗?
发布日期:2021-05-13
以WordPress网站容易受到攻击,不仅需要应付入侵者与网站所有者之间的问题,还需要处理更复杂的机器人程序,而这些机器人也常常试图侵入网站PHP代码。不过,好处是网站所有者可以根据攻击测试防御措施,但是Varidata认为更重要的是,应该持续升级WordPress,还应确保使用的插件或主题的版本。
通常来说,PHP漏洞有几种不同的类型,包括远程执行代码(RCE)、SQL注入、绕过身份验证、PHP对象注入、跨站脚本、跨站请求伪造、远程文件、本地文件等。
- RCE。当有人攻击并设法将代码上传到网站然后运行时,就会发生这种情况。PHP应用程序出现问题可能会要求用户输入代码,然后将其视为PHP代码,这就让黑客趁机而入。例如,它可能允许入侵者创建一个包含代码的新文件,该文件使他们拥有完全访问网站的权利。可以想象,利用网站做他们想做的事情有多可怕,所以远程执行代码是一种极其危险的行为。
- SQL或SQLi。SQL是允许入侵者可以让数据库运行自己的指令。每当PHP开发人员邀请来自网站访问者的数据输入时,他们仅应在检查数据后将其传递给数据库,以确保它不会试图潜入任何危险的代码。SQL使黑客可以自由控制网站上的数据,这意味着他们可以在数据库中创建新数据,包括指向垃圾邮件。他们还可能创建自己的管理员级别用户帐户,以控制网站。
- 绕过身份验证。有时,PHP开发人员可能会相信他们在执行操作之前已经正确验证了站点访问者具有正确的访问级别,但是实际上并没有筛查出所有错误的内容。由于WordPress开发人员在尝试确认某人为管理员时经常在使用‘is_admin()’,这可能会导致WordPress应用程序自身受到感染。问题在于该功能仅告诉是否有人正在查看管理页面,但不能证明站点访问者实际上是管理员。
- PHP对象注入。这是因为PHP的应用通过来自用户的输入为‘unserialize()’。当开发人员没有进行正确的关守并且允许用户的不安全输入进入PHP应用程序时,就会发生这种情况。
- 跨站脚本(XSS)。这是黑客使网站访问者的浏览器加载并运行危险代码时会出现的问题,然后,这些代码可能利用cookie,并向管理员提供入侵者的管理员级别的访问权限。跨站点脚本有两种形式,分别是存储和反映。
- 跨站请求伪造(CSRF)。是指某人创建链接并设法让站点管理员(或者实际上是具有高级访问权限的任何人)跟随该链接,并导致该站点执行操作。因此,如果有人建立一个链接,当站点管理员单击该链接时,该链接使用已知密码创建一个新管理员,这将是“跨站点请求伪造”攻击的一个示例。
- 远程文件(RFI)和本地文件(LFI)。当PHP应用程序将用户输入传递给加载文件的函数时,就会发生远程文件包含或RFI。如果文件是URL,则该函数将从黑客专门构建的网站加载PHP代码以攻击网站。如果黑客传递的文件是本地文件,则应用程序可能会将其内容发送到屏幕。这是入侵者经常使用的一种手段。
总结了这些常见的PHP漏洞及其创建的概述,希望能对作为WordPress管理员有所帮助,更好地了解漏洞,就能挖掘更好的处理方式。