快捷導(dǎo)航

php之對(duì)抗Web掃描器的腳本技巧

更新時(shí)間：2008年10月01日 00:26:58 作者：

我們很難保證一個(gè)Web程序的安全性，因?yàn)楣碇烂魈鞎?huì)有什么新的漏洞出現(xiàn)，鬼知道某個(gè)模塊是不是一個(gè)毫無安全意識(shí)的程序員編寫的。

大部分Web掃描器（包括上傳、管理后臺(tái)掃描器）都是通過判斷HTTP的200返回來確定頁面存在的，在頁面存在的基礎(chǔ)上，這些掃描期才會(huì)開始對(duì)漏洞進(jìn)行掃描。既然不能保證內(nèi)部邏輯的嚴(yán)密，那么就在輸入/輸出這個(gè)瓶頸上做文章，當(dāng)輸入錯(cuò)誤的密碼或者權(quán)限失敗時(shí)，我們自己返回一個(gè)400錯(cuò)誤的HTTP消息來誤導(dǎo)掃描器不再繼續(xù)進(jìn)行掃描（包括哪些手工入侵者）
以PHP為例：

復(fù)制代碼代碼如下:

<?php 
ob_start(); 
if ('Password' != $_GET['password']) 
header("HTTP/1.1 404 Not Found"); 
?> 
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> 
<HTML> 
<HEAD> 
<TITLE> Sample </TITLE> 
</HEAD> 
<BODY> 
</BODY> 
</HTML> 
<?php ob_end_flush();?> 

您可能感興趣的文章:

相關(guān)文章

詳細(xì)對(duì)比php中類繼承和接口繼承
在本文里我們給大家詳細(xì)對(duì)比了php中類繼承和接口繼承的不同之處，有興趣的朋友們學(xué)習(xí)下。
2018-10-10
php根據(jù)生日計(jì)算年齡的方法
這篇文章主要介紹了php根據(jù)生日計(jì)算年齡的方法,涉及php操作日期與字符串的相關(guān)技巧,非常簡(jiǎn)單實(shí)用,需要的朋友可以參考下
2015-07-07
PHP return語句的另一個(gè)作用
這篇文章主要介紹了PHP return語句的另一個(gè)作用,在bbPress的代碼中看到的一個(gè)奇葩使用方法,需要的朋友可以參考下
2014-07-07
PHP使用正則表達(dá)式獲取微博中的話題和對(duì)象名
這篇文章主要介紹了PHP使用正則表達(dá)式獲取微博中的話題和對(duì)象名,涉及php正則匹配與字符串操作的相關(guān)技巧,具有一定參考借鑒價(jià)值,需要的朋友可以參考下
2015-07-07
Fine Uploader文件上傳組件應(yīng)用介紹
考慮到對(duì)瀏覽器適配上采用Fine Uploader. Fine Uploader 采用ajax方式實(shí)現(xiàn)對(duì)文件上傳有需要的朋友可以參考下
2013-01-01
不要輕信 PHP_SELF的安全問題
開門見山，考慮下面的代碼（原文連接有詳細(xì)的解釋）
2009-09-09
php實(shí)現(xiàn)模擬post請(qǐng)求用法實(shí)例
這篇文章主要介紹了php實(shí)現(xiàn)模擬post請(qǐng)求用法,分析了php模擬post請(qǐng)求的三種常見用法,具有一定參考借鑒價(jià)值,需要的朋友可以參考下
2015-07-07
PHP下對(duì)數(shù)組進(jìn)行排序的函數(shù)
如果你已經(jīng)使用了一段時(shí)間PHP的話，那么，你應(yīng)該已經(jīng)對(duì)它的數(shù)組比較熟悉了——這種數(shù)據(jù)結(jié)構(gòu)允許你在單個(gè)變量中存儲(chǔ)多個(gè)值，并且可以把它們作為一個(gè)集合進(jìn)行操作。
2010-08-08
php刪除字符串末尾子字符,刪除開始字符,刪除兩端字符(實(shí)現(xiàn)代碼)
2013-06-06
php實(shí)現(xiàn)遍歷多維數(shù)組的方法
這篇文章主要介紹了php實(shí)現(xiàn)遍歷多維數(shù)組的方法,涉及php針對(duì)多維數(shù)組的遍歷與遞歸操作實(shí)現(xiàn)技巧,具有一定參考借鑒價(jià)值,需要的朋友可以參考下
2015-11-11