PHP组件漏洞防护—Hack之路

PHP组件漏洞防护
PHP库文件、PHIP 框架和其他PHP的软件模块,几乎总是以全部权限运行。如果个带有漏洞的组件被利用,这种攻击可能会造成严重的数据丢失或服务器接管。应用程序使用带有已知漏洞的组件会破坏应用程序防御系统,并使一系列的攻击和影响成为可能。组件本身存在严重的漏洞,如FCKeditor编辑器、OpenSSL 等均曝出过较严重的漏洞。防止此类漏洞,一定要时刻关注该软件的更新, 总是使用最新版本的组件。

RSS安全漏洞

聚合内容(ReallySimple Sydiation,RSS)是在线共享内容的一种简易方式。通常在]间修更快建获取信息。 网提供RSS物出有利刊时处性比的器的最新进新。网络用户可以在各户端借助于支持RSS的聚合工具软作.在不打开网站内容页面的情况下阅读支持RSS输出的网站内容。

如果RSS是来自不受信任的信息源,那么它们很有可能被注人了JavaScript 或者其他HTML标签。这些恶意标签很有可能攻击浏览器。在转发任何来自终端用户的信息之前,必须使用可富的过速表进行过速,或者它们必须过滤特定的字符集。为了抵御这种威胁,应当在应用中进行RSS输入输出验证。

受攻击的应用一般有以下几种。

(1)本地RSS阅读器,如Foxmail,GreatNews,浏览器自带的RSS订阅,其他客户端浏览器等。如果对此类进行攻击,可以执行更大的权限,一般为本地JavaScript权限
(2)Web RSS阅读器,如Google Reader,Bloglines,NewsGator,抓虾等。如果对此类进行攻击,将对Web用户造成伤害

 

网站地址:https://www.hackzl.cn;发布者:hack之路,转转请注明出处:https://www.hackzl.cn/index.php/2020/09/27/php%e7%bb%84%e4%bb%b6%e6%bc%8f%e6%b4%9e%e9%98%b2%e6%8a%a4-hack%e4%b9%8b%e8%b7%af/

发表评论

邮箱地址不会被公开。 必填项已用*标注