Како побољшати безбедност веб странице (ксс пХп)

Развој веб странице подразумева да програмер мора размишљати о безбедности, не само да морамо имати сигуран сервер, већ и применити неке стратегије које могу помоћи у заштити веба. У овом водичу ПХП ће се користити за примере, али их је могуће прилагодити другим програмским језицима.
Употреба променљиве сесије А не из колачићи
Једна грешка коју многи програмери чине је коришћење колачићи, мале текстуалне датотеке за складиштење информација о нашим задацима на Интернету, приступима итд.
Аре колачићи може се лако читати из било ког прегледача, на пример у Фирефок са фиребугом или у Хром десним тастером затим идемо на мени Прегледати елемент.

На слици можемо видети пример како је програмер направио колачић за пријављивање корисника и јавно изложио приступне податке.
Следећа слика је још један гори пример да је Гоогле индексирао приступ корисницима и лозинкама.

Тачно је да користите сесије у којима су подаци кодирани.

Овако би изгледала кодирана променљива сесије, много сигурнија јер је тешко читати:

пхпсессид= сб85п15841п6л1дфг7оо8хлсц85;

Затим на сваком екрану проверавамо сесију на свакој страници коју отворимо, претпостављамо да ће то бити ограничено подручје.

 [величина = 4] [/ величина] 

Сесије нису потпуно решење као што је то други метод хаковања Отмица сесије или Лажирање сесије. То се дешава ако нападач прочита вредност сесије док је пријављен, а затим покуша да јој приступи са другог рачунара.
Да бисмо то избегли, можемо креирати сесије које чувају податке о опреми на којој је корисник пријављен.

Са претходним кодом успостављамо сесију која чува ИП и прегледач са места на коме је приступљено вебу, затим проверавамо да ли док је сесија активна неко покушава да се пријави са другог ИП -а или други прегледач неће моћи да приступи веб

 [величина = 4] [/ величина] 

Нешто овако ради Фејсбук, ако приступате са другог уређаја или са другог ИП -а у другом граду, јер се чува са ког места често приступате.
Случајеви тестирања КССС и СКЛ ињекције
Један од начина да пронађете рањиве веб локације је да ставите у претраживач инфо_паге.пхп =, или цаталого.пхп =

ЕНЛАРГЕ

Ово ће нам дати листу рањивих веб локација, свака веб локација која се завршава са .пхп? Вариабле = може бити рањива.
Да бисмо тестирали да ли је рањив, уписујемо урл без вредности у променљиву примера:

мидомаин.цом/инфо_паге.пхп?ид=

Ако је веб рањив, одговорит ће мискл грешком која ће рећи сљедеће:

Имате грешку у СКЛ синтакси; проверите приручник који одговара вашој верзији МиСКЛ сервера да бисте пронашли праву синтаксу за употребу поред „“ у 1. реду

Ако пронађемо домен са овом рањивошћу, можемо га тестирати, ако пронађемо табелу корисника или администратора и колико колона има:

ввв.мојадомена / инфо_паге.пхп? ид = -1 + унија + све + изабери + 1,2,3, гроуп_цонцат (корисничко име, 0к3а,

усер_лозинка), 5 + од + администратора

У овом случају вратиће лозинку и администраторског корисника, да бисте избегли убризгавање СКЛ -а, морате да користите сесију, а не параметре по урл -у, у случају да их користите, очистите параметре неком функцијом или класом која проверава да нема скл наредби, или јавасцрипт у параметру који се шаље обрасцем или урл -ом.Да ли вам се допао и помогао овај водич?Можете наградити аутора притиском на ово дугме да бисте му дали позитиван поен