國外PHP空間的安全性問題

edited 十月 2013 in 伺服器環境
如題,
最近租用了國外的php空間來用,
(比國內的大又便宜)

如果在後台有Session去做帳密權限的檢查,
是否資料庫還有被駭的可能??

原始討論: http://twpug.net/x/modules/newbb/viewtopic.php?topic_id=5213

評論

  • edited 六月 2010
    如果真的很擔心的話,不如安置一些記錄器?
  • edited 六月 2010
    shiang 寫道:
    如果真的很擔心的話,不如安置一些記錄器?
    沒用吧 ....
    他的意思可能是說 , session 檔案大都置放於 /tmp (假設)
    如果是 Virtual Host , 大部分的用戶都有相同權限
    因此可以讀取 /tmp 底下的 sess_xxxxxxx檔案 , 甚至修改內容
    這樣子就可以莫名其妙的內神通外鬼的登入

    若大家都是相同權限 , 互相讀取彼此的網頁設定檔也是有可能的

    你應該詢問廠商 , 是否每個 Virtual Host 有各自的 uid gid
    又或者是租用 VPS 之類的 , 你甚至可以有 ssh 可用 , 還可安裝各種套件, 但這會比一般虛擬主機貴但又比實體主機便宜
  • edited 六月 2010
    我想他問的應該更簡單些...^^||

    後台有Session去做帳密權限的檢查,那也要看你檢查的過程是不是夠嚴密,虛擬主機還要把主機商的資安能力與同主機上其他使用者應用程式的安全性等納入考量。資安要看的嚴重些也可以是一門讀不完的學問,就量力而為嚕。
  • edited 六月 2010
    用session擋住之後應該就不可能讓沒建立session的人偷偷post了吧
  • edited 六月 2010
    thorx 寫道:
    用session擋住之後應該就不可能讓沒建立session的人偷偷post了吧
    還是有可能的
    因為 Session ID 是以 Cookie 方式存於瀏覽器中
    有很多種方式可以抓到 Session ID

    例如
    1. javascript 抓法 , 如果你的網站提供給人貼文的功能 , 但卻沒有去過濾 javascript , 那就可以抓到 Session ID 傳給有心人 , 所以網站本身設計不良就有可能
    2. 暴力破解法 , 駭客仍可以去大量製造假 ID 測到 SessionID 是否有用~ 當然你的程式可以在 Session 中紀錄 IP 或其他資訊 , 就算被測到 SessionID , 也由於其他資料不符 , 那麼等於無效的 Session , PHP 中也有語法可以修改 SessionID , http://tw2.php.net/manual/en/function.session-regenerate-id.php , 拿來稍微用一下也可以降低被駭的機率
    3. IFRAME , 在比較早期版本的瀏覽器 , 對於 IFRAME 這東西完全不設防 , 如果你的網站有提供給人貼 IFRAME 的語法 , 那麼 IFRAME 中的 javascript 程式可以去抓 parent 視窗的 cookie , 但這些漏洞目前的瀏覽器都已經修補 , 但難免盜版 OS 用戶根本都不敢更新軟體 , 所以難免會讓駭客有機可乘


    我在想應該還有很多種方法~~ 看看有沒有其他人願意提供入侵心得 ><
  • edited 六月 2010
    我還想到一個
    就是 Refferer 抓法
    如果你的 Session 是以 url 形式產生 , 如 /?PHPSESSION_ID=asdsdak123kjl
    那麼駭客放一個連結在你的貼文系統中等人點 , 還是可以抓到 SESSION_ID , 如果運氣好就抓到 admin的 session 了 , 我還常常見到現在還有許多網站用這方法傳遞 SessionID 呢...
  • edited 六月 2010
    PHP 的 session 應該還是會用些機制來判斷是否為同一個來源,不過細節不清楚

    如果有高度安全的考量,可以縮短 session id 更換的時間,甚至每次操作都更換,也在一些表單中安插 token 作檢核,應該大部分的問題都可以避免了吧 :)

    也是一個提醒, session 預設的安全性沒那麼高,因為這東西提高安全性就容易造成使用上的不便(例如莫名其妙被登出),最簡單的安全控制就是限定可以存取的 IP
  • edited 六月 2010
    kiang
    並不會喔 !!!

    你可以自己用 curl 造假另一台電腦的 Cookie , 你就會知道 PHP 什麼都沒做
    kiang 寫道:
    PHP 的 session 應該還是會用些機制來判斷是否為同一個來源,不過細節不清楚

    如果有高度安全的考量,可以縮短 session id 更換的時間,甚至每次操作都更換,也在一些表單中安插 token 作檢核,應該大部分的問題都可以避免了吧 :)

    也是一個提醒, session 預設的安全性沒那麼高,因為這東西提高安全性就容易造成使用上的不便(例如莫名其妙被登出),最簡單的安全控制就是限定可以存取的 IP
  • edited 六月 2010
Sign In or Register to comment.