Jak zlepšit zabezpečení webových stránek (xss pHp)

Z vývoje webové stránky vyplývá, že programátor musí myslet na zabezpečení, musíme mít nejen zabezpečený server, ale také uplatňovat některé strategie, které mohou chránit web. V tomto tutoriálu bude pro příklady použito PHP, ale mohou být přizpůsobeny jiným programovacím jazykům.
Použití proměnné relace A ne od cookies
Jednou chybou, kterou mnoho vývojářů dělá, je používání cookies, malé textové soubory, které ukládají informace o našich úkolech na internet, přístupy atd.
Jsou cookies lze snadno přečíst z libovolného prohlížeče, například v Firefox s firebugem nebo in Chrome pravým tlačítkem pak přejdeme do nabídky Zkontrolovat prvek.

Na obrázku můžeme vidět příklad toho, jak programátor vytvořil cookie pro přihlášení uživatele a veřejně zpřístupňuje přístupová data.
Následující obrázek je dalším horším příkladem, kdy Google indexoval přístupy pomocí uživatelů a hesel.

Správná věc je použít relace, kde jsou data kódována.

Takto by vypadala kódovaná proměnná relace, mnohem bezpečnější, protože je obtížně čitelná:

phpsessid= sb85p15841p6l1dfg7oo8hlsc85;

Poté na každé obrazovce kontrolujeme relaci na každé stránce, kterou otevíráme, předpokládáme, že se bude jednat o zakázanou oblast.

 [size = 4] [/ size] 

Relace nejsou úplným řešením, jako je jiná metoda hackování Únos relace nebo Spoofing relace. K tomu dochází, pokud útočník přečte hodnotu relace, když je přihlášen, a poté se k ní pokusí získat přístup z jiného počítače.
Abychom tomu zabránili, můžeme vytvářet relace, které ukládají data zařízení, kde je uživatel přihlášen.

S předchozím kódem vytvoříme relaci, která uloží IP a prohlížeč, odkud byl web přistupován, poté zkontrolujeme, zda se během relace někdo pokusí přihlásit z jiné IP nebo jiný prohlížeč nebude mít přístup k web

 [size = 4] [/ size] 

Něco takového ano Facebook, pokud přistupujete z jiného zařízení nebo z jiné IP v jiném městě, protože ukládá, z kterého místa často přistupujete.
Testování případů XSS a SQL Injection
Jedním ze způsobů, jak najít zranitelné webové stránky, je vložit do vyhledávače info_page.php = nebo catalogo.php =

ZVĚTŠIT

Tím získáme seznam zranitelných webů, jakékoli webové stránky, které končí .php? Variable = mohou být zranitelné.
Abychom otestovali, zda je zranitelná, napíšeme adresu URL bez hodnoty do ukázkové proměnné:

mydomain.com/info_page.php?id=

Pokud je web zranitelný, odpoví chybou mysql, která bude obsahovat následující:

Máte chybu v syntaxi SQL; v manuálu, který odpovídá verzi vašeho serveru MySQL, najdete správnou syntaxi, která se má použít blízko '' na řádku 1

Pokud najdeme doménu s touto chybou zabezpečení, můžeme otestovat, zda najdeme tabulku uživatelů nebo správců a kolik sloupců obsahuje:

www.mydomain / info_page.php? id = -1 + union + all + select + 1,2,3, group_concat (jméno_uživatele, 0x3a,

uživatel_heslo), 5 + od + správců

V tomto případě vrátí heslo a administrátor, aby se zabránilo injekci SQL, musíte použít relaci a ne parametry podle adresy URL, v případě jejich použití vyčistěte parametry nějakou funkcí nebo třídou, která ověří, že neexistují žádné příkazy sql, nebo javascript v parametru, který je odeslán pomocí formuláře nebo pomocí adresy URL.Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod