전자 상거래 웹 사이트 개발의 일반적인 취약점은 무엇입니까?

첫째, 일반적인 PHP 웹 사이트 보안 취약점

PHP 는 현재 다섯 가지 일반적인 취약점을 가지고 있습니다. 세션 파일 취약점, SQL 주입 취약점, 스크립트 명령 실행 취약점, 글로벌 변수 취약점 및 파일 취약점입니다. 다음은 이러한 취약점에 대한 간략한 소개입니다.

1, 세션 파일 취약점

회화 공격은 해커가 가장 많이 사용하는 공격 중 하나이다. 사용자가 웹 사이트를 방문할 때 고객이 페이지에 들어갈 때마다 자신의 계정과 비밀번호를 입력하지 못하도록 PHP 는 사용자의 사용 및 액세스를 용이하게 하는 세션 및 쿠키를 설정합니다.

2.SQL 주입 취약성

웹 사이트를 개발할 때 프로그래머는 사용자의 입력 데이터에 대한 종합적인 판단이 부족하거나 필터링이 엄격하지 않아 서버에서 사용자 정보 쿼리와 같은 악의적인 정보를 수행합니다. 해커는 악성 프로그램이 반환한 결과에 따라 적절한 정보를 얻을 수 있다. 이것은 달의 복부에 있는 SQL 주입 허점이다.

3, 스크립트 실행 취약점

스크립트 실행 취약점의 일반적인 원인은 프로그래머가 웹 사이트를 개발할 때 사용자가 제출한 URL 매개 변수를 필터링하지 않고 사용자가 제출한 URL 에 악성 코드가 포함되어 사이트 간 스크립트 공격이 발생할 수 있기 때문입니다. 이전 PHP 웹 사이트에는 스크립트 실행 취약점이 자주 있었지만 PHP 버전이 업그레이드되면서 이러한 문제가 줄어들거나 사라졌습니다.

4. 글로벌 변수의 취약성

PHP 의 변수는 다른 개발 언어처럼 미리 선언할 필요가 없습니다. PHP 의 변수는 선언하지 않고 직접 사용할 수 있으며, 사용할 때 자동으로 작성되므로 변수 유형을 해석할 필요가 없습니다. 변수 유형은 컨텍스트에 따라 자동으로 결정됩니다. 이 방법은 프로그래머의 프로그래밍 오류 가능성을 크게 줄여 사용하기 매우 편리하다.

5. 파일 취약성

파일 취약점은 일반적으로 웹 사이트 개발자가 웹 사이트를 디자인할 때 외부에 제공된 데이터를 충분히 필터링하지 않아 해커가 웹 프로세스에서 적절한 명령을 실행하기 위해 취약점을 활용하기 때문입니다.

둘째, PHP 의 일반적인 취약점 예방 조치

1, 세션 취약성 방지

앞의 분석에서 알 수 있듯이 가장 일반적인 세션 공격은 세션 하이재킹입니다. 즉, 해커는 다양한 공격을 통해 사용자의 세션 ID 를 얻은 다음 공격받은 사용자의 ID 를 사용하여 해당 사이트에 로그인합니다. 이를 위해 다음과 같은 방법으로 예방할 수 있습니다. 첫째, PHP 자체의 함수를 통해 세션 ID 를 정기적으로 변경할 수 있습니다. 두 번째는 세션의 이름을 변경하는 것입니다. 일반적으로 세션의 기본 이름은 PHPSESSID 입니다. 이 변수는 일반적으로 쿠키에 저장됩니다. 이름을 바꾸면 해커의 공격을 차단할 수 있다. 세 번째는 투명 세션 ID 를 끄는 것입니다. 투명성이란 http 요청이 쿠키를 사용하지 않고 세션 ID 를 만들 때 세션 ID 가 링크를 통해 전달된다는 것입니다. 투명 세션 ID 를 끄려면 PHP.ini 파일을 조작하면 됩니다. 네 번째는 URL 을 통해 숨겨진 매개 변수를 전달하여 해커가 세션 데이터를 얻더라도 세션 ID 의 변수 값을 얻기가 어렵다는 것을 보장하는 것입니다. 관련 매개 변수는 숨겨져 있기 때문입니다.

2. SQL 주입 취약점 방지

해커가 SQL 을 주입하는 방법에는 여러 가지가 있고 유연하지만 SQL 주입의 유사점은 입력으로 취약점을 필터링하는 것이다. 따라서 SQL 주입을 근본적으로 방지하기 위해 근본적인 해결책은 요청 명령, 특히 쿼리 요청 명령의 필터링을 강화하는 것입니다. 구체적으로 다음과 같은 사항을 포함합니다. 첫째, 필터 문을 매개변수화합니다. 즉, 사용자 입력을 문에 직접 포함하는 대신 파라메트릭 문을 통해 사용자 정보를 입력합니다. 둘째, 웹사이트를 개발할 때 가능한 한 해석 절차를 적게 사용하는데, 해커들은 종종 이런 수단으로 불법 지시를 집행한다. 셋째, 웹 사이트 개발 중인 버그를 피하십시오. 그렇지 않으면 해커가 이 정보를 이용하여 웹 사이트를 공격할 수 있습니다. SQL 주입을 방어하는 것만으로는 충분하지 않습니다. 또 전문 취약성 검사 도구를 자주 사용하여 웹사이트를 빈틈 스캔해야 한다.

3. 스크립트 실행 취약점 방지

해커가 스크립트를 이용해 허점을 집행해 공격하는 수단이 다양하고 유연합니다. 따라서 해커 공격 스크립트 집행의 허점을 효과적으로 막기 위해 다양한 예방 수단을 취하는 종합적인 수단이 필요하다. 여기에서 일반적으로 사용되는 방법에는 네 가지가 있습니다. 하나는 기본 실행 파일의 경로입니다.

4, 글로벌 변수 취약성 예방.

이전 PHP 버전도 PHP 글로벌 변수의 취약점에 문제가 있었지만 PHP 버전을 5.5 로 업그레이드한 후 php.ini 를 설정하여 ruquest_order 를 GPC 로 설정하면 됩니다. 또한 php.ini 구성 파일에서 Magic_quotes_runtime 의 부울 값을 통해 외부적으로 매력적인 데이터에 백슬래시 오버플로우 문자를 표시할지 여부를 설정할 수 있습니다. 웹 사이트 프로그램이 서버의 모든 설정 상태에서 실행될 수 있도록 하기 위해서.

5, 문서 취약성 예방

PHP 파일 누출의 경우 서버를 설정하고 구성하여 방지할 수 있습니다. 다음은 다음과 같습니다. 먼저 PHP 코드에서 오류 프롬프트를 꺼서 해커가 오류 프롬프트를 통해 데이터베이스 정보 및 웹 페이지의 실제 경로를 얻지 못하도록 합니다. 두 번째는 전심전력으로 open_basedir 를 설정하는 것입니다. 즉, 디렉토리 외부의 파일 작업을 금지합니다. 이렇게 하면 로컬 또는 원격 파일을 공격으로부터 보호할 수 있습니다. 또한 세션 파일과 업로드 파일에 대한 공격을 방지하는 데도 주의해야 한다. 셋째, 실행할 명령을 표준화할 수 있도록 safe-made 를 켜기로 설정합니다. 파일 업로드를 금지함으로써 PHP 웹 사이트의 안전률을 효과적으로 높일 수 있다.