有人设法在我主页上的按次付费网站上放置了 iframe。在我看来,这只能通过 FTP 或 SSH 发生,所以我想对所有帐户进行 IP 锁定。
但是,我联系了我的主机,他们通常说这是一个编码漏洞,而不是 FTP 黑客攻击。
有人将 HTML 注入我的 index.php 文件的可能原因是什么?
编辑:文件上传是我网站的一部分。他们是否可以进行某种缓冲区攻击并使我的站点将文件解释为 PHP 命令?
问问题
232 次
1 回答
0
这不是通常使用的术语“HTML 注入”。这通常是指 Web 应用程序在 HTML 模板中写入用户输入而没有转义字符(如<to <. (在 PHP 中,这是由于忘记调用htmlspecialchars()输出模板而导致的常见问题,并且语言没有自动为您执行此操作。)
但是,如果有人更改了服务器上现有 .php 文件的内容,那么与简单的 HTML 注入 XSS 相比,您面临的妥协要严重得多。为了能够写入文件,攻击者必须获得对您的管理帐户的访问权限,或者利用 Web 应用程序中的文件写入漏洞,并且该应用程序以对其自己的 .php 文件具有写入权限的用户身份运行. (通常,您应该以低权限用户身份运行 Web 应用程序,没有写入应用程序文件的权限。但在一些可悲的共享托管场景中,一个用户可能就是所有事情的全部。)
不管您的主机说什么,到目前为止,这种妥协的首要原因是 FTP 凭据丢失。通常的模式是用于访问 FTP 服务器的机器感染了密码窃取恶意软件,通常是由于访问了另一个网站上的受感染页面(该网站本身经常被黑客入侵)。
所以绝对是所有可以访问 FTP 服务器的机器上的病毒检查程序;使用多个 AV,并在您发现的任何受感染机器上重新安装操作系统,因为 AV 不善于检测,不善于删除。然后更改帐户的密码并停止使用未加密的 FTP,看在上帝的份上,这是 2013 年。如果您的主机拒绝提供 SFTP 访问,那么这连同上面的糟糕建议将是转储它们的好理由。
文件上传是我网站的一部分。他们是否可以进行某种缓冲区攻击并使我的站点将文件解释为 PHP 命令?
这是可以想象的;一般来说,文件上传是一个非常难以做到的功能。如果网站以对 Web 服务器将运行 .php 文件的任何位置具有写入权限的用户身份运行,则任何文件写入漏洞都会升级为执行任意代码漏洞。因此,审核文件系统的哪些位对 Web 服务器用户具有写访问权限,并尽可能将其锁定,此外还要对应用程序中用于文件名的任何变量执行强白名单验证。(最好:永远不要使用任何客户端提供的数据来形成文件名。)
于 2013-07-13T12:38:58.440 回答