检测 Web 应用程序中的漏洞以及如何继续

Question

有哪些方法可以检测 PHP/MySQL Web 应用程序中的漏洞（检查 GET、POST、COOKIE 数组中的某些字符或代码片段/使用具有所有常见漏洞模式的数据库库（如果存在）？ ），当检测到时我应该如何处理？

例如，如果有人试图使用 GET 请求方法在我的 PHP/MySQL Web 应用程序中查找 SQL 注入，我是否应该将用户执行的操作存储在数据库中，让应用程序向我发送电子邮件，IP 禁止用户并向他/她显示一条消息“抱歉，我们检测到您的帐户存在有害操作，我们将对其进行审核。您的帐户已被禁用，并且您的 IP 地址可能会禁用某些功能。如果这是一个错误，请-将所有详细信息邮寄给我们。”

谢谢。

Answer 1

我想到三件事：

1. 防御性编码、清理所有输入、准备 sql 语句并使用 Suhosin
2. 通过使用 漏洞扫描器 闯入网站来提高网站的安全性，
3. 使用 入侵检测系统

如果您觉得成熟的 IDS 太多了，请尝试 PHP IDS，因为它几乎可以满足您开箱即用的要求。请注意，在 PHP 级别检测入侵可能已经为时已晚，无法阻止攻击。

如果入侵成功，我想你最好的选择就是让服务器离线，看看造成了什么损害。如果您需要收集合法可用的证据，您可能必须考虑雇用某人对机器进行取证分析。

如果您觉得需要对不成功的入侵尝试做出反应并获取恶意用户的 IP，请找出 ISP 并告知他尽可能多的入侵尝试的详细信息。大多数 ISP 都有针对这些案件的滥用联系人。

Answer 2

你的问题是双重的，我将回答第二部分。

记录所有内容，但不禁止或显示任何消息。万一误报，那就尴尬了。作为一般规则，尝试构建一个可以毫无问题地处理任何类型的用户输入的应用程序。

Answer 3

只需在所有 $_REQUEST 和 $_COOKIE 变量上使用 strip_tags() 来处理这些变量中显示的代码，至于 SQL，您可能必须编写类似查询的正则表达式或其他内容，但这不应该是一个问题，因为您应该始终 mysql_real_escape_string($str) 查询中的所有变量。不过尝试一下这样的事情。

function look_for_code_and_mail_admin($str) {
    $allowed_tags = "<a>,<br>,<p>";
    if($str != strip_tags($str, $allowed_tags)) {
        $send_email_to = "[email protected]";
        $subject = "some subject";
        $body = "email body";
        mail($send_email_to,$subject,$body);   
    }
    return($str);
}

Answer 4

嗯，我不记得上次看到一个尝试记录我无法渗透的 SQL 注入攻击的网站是什么时候了。

您无需担心有人攻击该网站的天气，因为它充其量是主观的，关于是否遭受攻击。如果站点对某些值进行 Base64 编码并在使用之前对其进行解码会怎样？您的 IDS不会捕捉到这一点。如果用户想要发布一段代码，由于它包含 SQL 而被检测为漏洞怎么办？这太浪费时间了...如果您确实需要知道是否有人在攻击您，只需在一台单独的计算机上安装一些IDS，并对传入流量进行只读访问...我说的是单独的计算机，因为许多 IDS 本身就很脆弱，而且只会让情况变得更糟。

使用标准安全编程方法，使用参数化 SQL 查询或 ORM。

Answer 5

对我来说，电子邮件和其他一切工作似乎太多了。除此之外，我喜欢在我常用的网站上跑来跑去，尝试找到可注入点，这样我就可以警告管理员。你会因此禁止我的 IP 吗？

我建议您自己寻找可利用的部分并在必要时进行消毒。 Acunetix 为此提供了一个非常非常好的程序。如果您不想花大价钱购买 Acunetix，您可能需要研究一些非常好的 Firefox 插件，称为 XSS Me 和 SQL Inject me。