6 Bitnih savjeta za zaštitu vaše PHP stranice od hakera

Vaša PHP stranica je pokrenuta. Čestitamo! Ali pričekajte … jeste li se pobrinuli za neophodno sigurnosno očvršćivanje?


PHP je lagan, ali vrlo moćan programski jezik za podupiranje. Pokreće oko 80% globalnih web aplikacija, što ga čini jednim od najčešće korištenih jezika u svijetu razvoja.

Razlog njegove popularnosti i široke upotrebe je jednostavna struktura kodiranja i funkcije prilagođene programerima. Postoji puno CMS-a i okvira izgrađenih na vrhu PHP-a, a tisuće poznatih programera iz cijelog svijeta redovni su dio zajednice.

Jedan sjajan primjer je WordPress.

Kada se PHP aplikacije razmještaju na live poslužiteljima, može se suočiti s nekoliko slučajeva hakiranja i web napada, zbog čega se podaci o njihovim web stranicama čine izuzetno ranjivim za krađu. Jedna je od najvažnijih tema u zajednici, kako izgraditi potpuno sigurnu aplikaciju, vodeći računa o svim temeljnim ciljevima projekta.

Unatoč svojim naporima, programeri uvijek budu oprezni kod skrivenih rupa koje ostaju neprimijećene tijekom razvijanja aplikacije. Te rupe mogu ozbiljno ugroziti zaštitu vitalnih podataka na bilo kojoj web lokaciji web hosting za PHP MySQL aplikacija, ostavljajući ih ranjivim za pokušaje hakiranja.

Dakle, ovaj članak govori o nekim korisnim PHP sigurnosnim savjetima koje biste pametno mogli koristiti u svojim projektima. Pomoću ovih malih savjeta možete osigurati da vaša aplikacija uvijek stoji visoko na sigurnosnim provjerama i da nikad ne može biti ugrožena bilo kakvim vanjskim web napadima.

Skripta na više stranica (XSS)

Skripta na više mjesta je jedan od najopasnijih vanjskih napada koji se izvodi ubrizgavanjem bilo kojeg zlonamjernog koda ili skripte u web mjesto. To može utjecati na jezgre vaše prijave, jer haker može ubaciti bilo koju vrstu koda u vašu aplikaciju, a da vam ni ne daje naznake. Ovaj se napad uglavnom događa na onim web mjestima koja priznaju i šalju korisničke podatke.

U napadu XSS ubrizgani kôd zamjenjuje izvorni kod vaše web stranice, ali djeluje kao stvarni kôd koji narušava performanse web mjesta i često krade podatke. Hakeri zaobilaze kontrolu pristupa vašoj aplikaciji, dobivajući pristup vašim kolačićima, sesijama, povijesti i drugim vitalnim funkcijama.

Ovaj napad možete suzbiti koristeći HTML znakove & ENT_QUOTES u kodovima aplikacije. Koristeći ENT_QUOTES, možete ukloniti pojedinačne i dvostruke mogućnosti citata, što vam omogućuje pročišćavanje svake mogućnosti napada skripta na više mjesta.

Krivotvorenje zahtjeva na više web lokacija (CSRF)

CSRF predaje potpunu kontrolu aplikacija hakerima za obavljanje bilo kakvih nepoželjnih radnji. Uz potpunu kontrolu, hakeri mogu obavljati zlonamjerne operacije prenoseći zaraženi kod na svoju web stranicu, što rezultira krađom podataka, funkcionalnim izmjenama itd. Napad prisiljava korisnike da promijene konvencionalne zahtjeve u izmijenjene destruktivne, poput nesvjesno prebacivanje sredstava, brisanje cijelu bazu podataka bez ikakvih obavijesti itd.

CSRF napad može se pokrenuti samo kad kliknete na prikrivenu zlonamjernu vezu koju je poslao haker. To znači da ako ste dovoljno pametni da biste pronašli zaražene skrivene skripte, lako možete isključiti svaki potencijalni CSRF napad. U međuvremenu, također možete upotrijebiti dvije zaštitne mjere da pojačate sigurnost aplikacije, tj. Upotrebom GET zahtjeva u vašem URL-u i osiguravate da se non-GET zahtjevi generiraju samo iz koda na strani vašeg klijenta..

Otmica za sjednice

Otmica sjednice je napad putem kojeg haker krade vašu sesiju ID-a kako bi dobio pristup željenom računu. Koristeći taj ID sesije, haker može potvrditi vašu sesiju slanjem zahtjeva na poslužitelj, gdje niz $ _SESSION potvrđuje svoje vrijeme produženja, a da pritom ne zadrži vaše znanje. Može se izvesti putem XSS napada ili pristupom podacima na kojima su pohranjeni podaci sesije.

Da biste spriječili otmicu sesije, uvijek sesije vezajte za stvarnu IP adresu. Ova vam praksa pomaže da poništite sesije kad god se dogodi nepoznata kršenja i odmah vam daje do znanja da netko pokušava zaobići sesiju kako bi dobio kontrolu pristupa aplikaciji. I uvijek zapamtite, da ni pod kojim okolnostima ne izlažete osobne iskaznice jer kasnije može kompromitirati vaš identitet drugim napadom.

Spriječite napade ubrizgavanja SQL-a

Baza podataka jedna je od ključnih komponenti aplikacije koju hakeri uglavnom ciljaju putem napada SQL ubrizgavanja. To je vrsta napada u kojem haker koristi određene URL parametre kako bi dobio pristup bazi podataka. Napad se može izvršiti i pomoću polja web obrasca, gdje haker može promijeniti podatke koje prolazite kroz upite. Promjenom tih polja i upita, haker može dobiti kontrolu nad vašom bazom podataka i može izvršiti nekoliko katastrofalnih manipulacija, uključujući brisanje čitave baze podataka.

Da biste spriječili napade ubrizgavanja SQL-a, preporučuje se upotreba parametriziranih upita. Ovaj PDO upit ispravno zamjenjuje argumente prije pokretanja SQL upita, učinkovito isključujući svaku mogućnost napada SQL ubrizgavanja. Ova praksa ne samo da vam pomaže da osigurate svoje SQL upite već ih i strukturira za učinkovitu obradu.

Uvijek koristite SSL certifikate

Da biste osigurali cjelovit zaštićeni prijenos podataka putem interneta, uvijek koristite SSL certifikate u svojim aplikacijama. To je globalno priznati standardni protokol poznat kao protokol prijenosa hiperteksta (HTTPS) za siguran prijenos podataka između poslužitelja. Pomoću SSL certifikata, aplikacija dobiva siguran put prijenosa podataka, što hakeri gotovo onemogućavaju upad na vaše poslužitelje.

Svi glavni web preglednici kao što su Google Chrome, Safari, Firefox, Opera i drugi preporučuju korištenje SSL certifikata, jer pruža šifrirani protokol za prijenos, primanje i dešifriranje podataka putem interneta.

Sakrij datoteke u pregledniku

U okvirima mikro PHP-a postoji specifična struktura direktorija koja osigurava pohranu važnih okvirnih datoteka poput kontrolera, modela, konfiguracijske datoteke (.yaml) itd..

Ove datoteke preglednik uglavnom ne obrađuju, ali se pregledavaju duže vrijeme u pregledniku, stvarajući sigurnosnu narudžbu za aplikaciju.

Dakle, uvijek pohranite datoteke u javnu mapu, umjesto da ih čuvate u korijenskom direktoriju. Ovo će ih učiniti manje dostupnima u pregledniku i sakriti će funkcije od bilo kojeg potencijalnog napadača.

Zaključak

PHP aplikacije uvijek su osjetljive na vanjske napade, ali koristeći gore navedene savjete, lako možete osigurati jezgre vaše aplikacije od bilo kakvih zlonamjernih napada. Budući da ste programer, vaša je odgovornost zaštititi podatke svoje web stranice i učiniti ih bez grešaka.

Osim ovih savjeta, mnoge tehnike mogu vam pomoći da zaštitite svoju web aplikaciju od vanjskih napada, poput korištenja najboljeg rješenja hostinga za oblak koji osigurava optimalne sigurnosne značajke, oblak WAF, postavljanje korijena dokumenta, bijele IP adrese i još mnogo toga.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map