Проблемы безопасности с включением файла с PHP 4 платформы

PHP 4 теперь становится менее используемым через Интернет, и вместо этого выключается с более новыми версиями, такими как PHP 5. Было много модификаций, которые были сделаны под капотом, если можно так выразиться, и в частности веб-мастера заметят, что они должны будут найти новый синтаксис для включения удаленных файлов в интернет-страницу.

Нападения XSS, или что называют нападениями сценариев перекрестного места, являются нападениями, в которых хакер инжекции кодируют с удаленного веб-сайта. Это нападение распространено на PHP 4 платформы, но не так на PHP 5 платформ из-за изменения в том, как конфигурации основаны на дефолте. PHP 4 позволяет безграничное управление абсолютными путями к файлам, где PHP 5 расправился с абсолютными путями и вместо этого гарантирует другие методы достижения включения файла.

Один популярный метод того, как серверы эксплуатируются с нападениями XSS, при помощи их как прокси-сервер, в котором можно сделать незаконную деятельность. Если хакер будет осторожен, он или она не будет пойман и будет в состоянии отослать почту спама, или даже провести нападения на другие веб-сайты и серверы. Поскольку нападение, кажется, прибывает из сервера веб-мастера, хакер никогда не мог, вероятно, быть пойман и вызывать веб-мастера личная ответственность.

XSS нападает на функцию главным образом потому что andquot; allow_url_fopenandquot; установлен в на, который является настройкой по умолчанию в PHP 4. В PHP 5, однако, настройка по умолчанию должна выключить его. В результате веб-мастера не будут в состоянии включать абсолютные пути без небольшой мелкой случайной работы. Вместо этого разработчиков убеждают использовать относительные пути к файлам когда включая файлы. Другой метод использования включать функции в PHP 5 должен просто назвать собственный основной справочник сервера для запроса файлов. Таким образом, тот же синтаксис может наблюдаться. Переменная сервера для этого основного справочника, andquot; $ _Server ['document_root занимает место доменного имени веб-мастера когда включая файл. Используя эту переменную сервера, в действительности, позволяет веб-мастерам все еще использовать абсолютные пути в их включающего функции. Это полезно для обхода изменения, все включают функции для размещения для относительных путей.

Для веб-мастеров, которым не нравится изменение, желание включить задержание, вероятно, бесспорно. Но это убеждают, что веб-мастера избегают эту установку для предотвращения наиболее распространенных нападений XSS, как поощрено сообществом PHP, которое думало, что было серьезно действительно проблема изменить ее поведение по умолчанию. Вместо этого учитесь использовать новый синтаксис или обходное решение и сохранять Ваш сервер безопасным, Ваши пользователи счастливый, и Ваши проблемы минимальный.

PHP 4 медленно исчезает в фон, поскольку новые стандарты приняты и помещены в использование. PHP 5 собирается продолжиться в популярности, и хорошие новости являются нападениями XSS, уменьшит значительно по пути в результате.

Обсудить у себя 0
Комментарии (0)
Чтобы комментировать надо зарегистрироваться или если вы уже регистрировались войти в свой аккаунт.

Войти через социальные сети:

Golos
Golos
Было на сайте 19 апреля 2017 года в 20:04
48 лет (01.01.1970)
Читателей: 1 Опыт: 0 Карма: 1
все 0 Мои друзья