php – 保护我的网站
|
我正在用
w3af审核我的网站.
它说它在我的网站上发现了几个问题,但我怀疑情况确实如此. 其中一个问题是:
我很确定它不容易受到csrf攻击,因为我在我的表单中使用了crsf保护(带有令牌的字段被检查). 所以我想知道这条消息是关于什么的:
我不在乎攻击者能否从POST切换到GET还是我? 如果我能这样做,请解释我为什么这样做?如何利用它?
从没有w3af经验的角度来看,我认为它有一些非常基本的规则写入其中,并检查这些规则并报告它们.
在这种情况下,它可能会检查您是否使用了$_REQUEST而不是$_POST或$_GET,然后如果找到它则报告错误,无论您为确保这一点做出了哪些努力. 每个人都会以不同的方式编写代码,因此让软件了解代码的上下文将是一项了不起的成就,并且可能超出了这一范围的智能.这并不意味着对软件的攻击,但说实话,如果我想出一些可以理解别人代码的上下文和意图的程序,我不会在sourceforge上放弃它:p 有关系吗?也许取决于你获得网站的安全程度(见上面Marc B的(1)评论). – 编辑 – 通过使用$_REQUEST而不是指定$_POST或$_GET,您可以让自己对容易关闭的攻击区域保持开放.不仅如此,$_REQUEST还包括$_COOKIE.这已被覆盖here,而不是我复制别人的答案. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |