Back to Question Center
0

5 আরো পিএইচপি নিরাপত্তা দুর্বলতা            5 আরো পিএইচপি নিরাপত্তা দুর্বলতাযুক্ত বিষয়: উন্নয়ন পরিবেশের পারফরমেন্স

1 answers:
5 আরো পিএইচপি নিরাপত্তা দুর্বলতা

পূর্ববর্তী নিবন্ধে, আমি কিছু সাধারণ নিরাপত্তা দুর্বলতার কথা বললাম যা আপনার পিএইচপি ওয়েব অ্যাপ্লিকেশনকে প্রভাবিত করতে পারে। কিন্তু সেই দশটি ছাড়াও অন্যান্য কিছু আছে (ঠিক আছে, সাতটি) যখন আপনি উন্নয়নশীল হন তখন চিন্তা করুন। এবং তাই, এই নিবন্ধটি সুরক্ষার সাথে সম্পর্কিত বিবিধ বিষয়গুলির একটি সংমিশ্রণ প্রদান করে; আপনার কাজ করা উচিত, আপনার যা করা উচিত নয় এমন জিনিস, অন্যান্য ব্যক্তিরা যা করার চেষ্টা করে এমন জিনিসগুলি, যা আমার লেখক তার সাথে সন্তুষ্ট হওয়ার জন্য যথেষ্ট পরিমাণে লেখার জন্য যা কিছু লাগে তা নিয়ে।

পিএইচপি এর নিরাপত্তা প্রোফাইল

মিমিলে যখন আপনি বার বার ঘুরে বেড়ান তখন আপনি মানুষকে শুনতে পান (নিয়মিত নিয়মিত নয়, কিন্তু যারা ভুলে যান) পিএইচপি অত্যন্ত নিরাপদ ভাষা নয়। অতীতে, এই ধরনের অনুভূতির জন্য কিছু বৈধ ভিত্তিতে ছিল।

বেশিরভাগ ঐতিহাসিক সমস্যাগুলি খারাপ ডিফল্ট সেটিংসে সনাক্ত করা যায়। একটি ভাল উদাহরণ রেজিস্টার গ্লাবাল যা 5 মধ্যে অবচিত ছিল। 3 এবং তারপর সম্পূর্ণরূপে 5 মধ্যে সরানো। 4. কোন বুদ্ধি এটা সম্পর্কে কথা বলা হয়; এটি আর কোন সমস্যা নয়, তবে আসুন আমরা এই কথা বলি যে এটি জনগণকে সম্ভাব্য অসুরক্ষিত কোড লিখতে সুযোগ দিয়েছে। যে ইনসিকিউরিটিস php এর ফলাফল ছিল ini সেটিংস এখন বেশিরভাগই নিরপেক্ষ করা হয়েছে বা অন্যথায় ভাল প্রচারিত হয়েছে।

পিএইচপি এর পক্ষে এক বড় ব্যাপার হল এটি একটি সার্ভার-সাইড ভাষা। সেমল্ট বা এইচটিএমএল এর বিপরীতে যা ব্যবহারকারীর ব্রাউজারে সরাসরি সঞ্চালিত হয় বা কোডটি দেখতে পাওয়া যায়, পিএইচপি কোড সার্ভারে ব্রাউজারে প্রেরিত ফলাফলগুলি দ্বারা ব্যাখ্যা করা হয়। অবশ্যই যদি সার্ভারটি ভুলভাবে কনফিগার করা হয়ে থাকে তবে এটি পিএইচপি কোড ব্রাউজারে ডাউনলোড করতে পারে, তবে এটি এমন জিনিস নয় যা প্রতিদিনই ঘটে।

পিএইচপি পদ্ধতির মাঝে মাঝে মাঝে একটি জিনিস পাওয়া যায়, তবে এটিও তার শক্তিগুলির মধ্যে একটি, যা তার নমনীয়তা। একটি পিএইচপি চালানোর জন্য সবকিছু ঠিক যেমন এবং হতে হবে। আপনি আলগা শেষ হতে পারে এবং কোড এখনও কাজ করবে। মিমল্ট, আলগা প্রান্তিকতা হ্যাকারদের ব্যবসার জন্য রাখা হয় এবং তাই নিরাপদ কোডটি লিখতে প্রায়ই টাইট, টেকনিক্যালি সঠিক কোড দিয়ে শুরু হয়।

ইনপুট ফিল্টার ফিল্টার

এটি এত সহজ মনে হচ্ছে: আপনার ওয়েব পেজগুলিতে প্রবেশ করা ডেটা পরিদর্শন করুন এবং নিশ্চিত করুন যে এটি বিপজ্জনক নয়। কে করবে না যে, মানুষ? উত্তর মানুষের একটি বিস্ময়কর সংখ্যা।

মিমোল্ট একটি নির্দিষ্ট চিন্তাভাবনা স্কুল যা যুক্তি দেয় যে একজন কম্পিউটার বিজ্ঞান প্রধান যিনি একজন স্যামসটারের মূল্যের স্ক্যামগুলির অধীন থাকা উচিত। আপনি কি জানেন, মানুষ তাদের কাছে আসছে এবং $ 100 প্রদান করার প্রস্তাব দিচ্ছে, যদি তারা তাদের "চেক" ক্যাশে পেতে তাদের $ 20 প্রয়োজন হয়। অথবা একজন আইনজীবীর কাছ থেকে ই-মেইল যেকোনোভাবে তাদের বলছে যে তারা যে কোনো আত্মীয়ের কথা শোনেনি তারা তাদের 25 মিলিয়ন পাউন্ড ত্যাগ করেছে এবং তারা তাদের ব্যাংকের তথ্য পাঠাতে দাবি করার জন্য তাদের সবাইকে ডাকা প্রয়োজন। লক্ষ্য, অবশ্যই, কম্পিউটার মানুষকে শিক্ষা দিতে হবে যে দুনিয়া কোন বন্ধুত্বপূর্ণ জায়গা নয়। আমরা মন্তব্য লিখতে ব্যবহারকারীর জন্য একটি 256-অক্ষরের এলাকা সেট আপ করে এবং কিছু লোক এসকিউএল ইনজেকশন আক্রমণ করতে একটি এসকিউএল কমান্ড লিখতে যে স্থানটি ব্যবহার করবে। আর কোন সম্মান নেই?

যদি আপনি এমন একটি পৃষ্ঠা সেট আপ করেন যা কোনও ফ্রী ফরম এন্ট্রি এটিকে অনুমতি দেয়, তাহলে আপনাকে সেই ইনপুটটি সাবধানে পর্যালোচনা করতে হবে এবং নিশ্চিত করুন যে আপনি প্রবেশ করা থেকে কিছুটা খারাপ রাখবেন। ফাংশনটি ব্যবহার করুন filter_input () যাতে খারাপ লোকরা আপনার ফরমগুলিতে খারাপ জিনিস না রাখে (অথবা আপনার ইনপুট একটি ফাইল ট্রান্সফার বা অন্য কোন I / O অপারেশনের সাথে থাকলে) ফাইলগুলি ব্যবহার করে।

সৌভাগ্যবশত, এটির সাথে সংশ্লিষ্ট সাইটেরপয়েন্টে ইতিমধ্যেই দুটি গ্রেট নিবন্ধ রয়েছে। প্রথমটি হচ্ছে টবি ওসাউরনের ফিল্টার ফাংশন ব্যবহার করে ইনপুট ভ্যালিডেশন এবং দ্বিতীয়টি হল ক্ল্যামএভি, জেন্ড ফ্রেমওয়ার্কের একটি ভ্যালিডেশন ফিল্টার হিসেবে ম্যাথু সেটারের মাধ্যমে। এই দুটি নিবন্ধ আপনি এই সম্ভাব্য সমস্যা সম্পর্কে downlow উপর lowdown পেতে সক্ষম হওয়া উচিত. কিন্তু যখন আপনি উত্পাদন হয়, আপনি কি সত্যিই এই ঘটতে চান? তথ্য প্রতিটি বিট একটি হ্যাকার জন্য জীবন খাদ্য, এবং এমনকি আপনার ব্যর্থতা সম্পর্কে তথ্য যারা তাদের ইচ্ছা শুধুমাত্র আপনার সাইট ধ্বংস হয় সাহায্যকারী হতে পারে। মিষ্টি, আপনি যখন উত্পাদন হয় পর্দায় ত্রুটি প্রদর্শন করা উচিত নয়

কিভাবে আপনি এই নিয়ন্ত্রণ না? পিএইচপি ভালা ধন্যবাদ ini ফাইলটি সেখানে আছে কারণ এটি শুধু এই ধরনের চাহিদাগুলির জন্য এটি বিদ্যমান। আসলে, চারটি পতাকা আছে যা php তে সেট করা যেতে পারে। ini ঠিক যেমন আপনার পছন্দ মত ত্রুটি রিপোর্ট কনফিগার।

  • error_reporting - এই পতাকা সিদ্ধান্ত নেয় যে আপনি ত্রুটি সম্পর্কে জানতে চান বা না। স্পষ্টতই, আপনি সবকিছু সম্পর্কে জানতে চান, তাই বুদ্ধিমান জিনিস এটি E.ALL উৎপাদন ও পরীক্ষা উভয়ের মধ্যে সেট করতে হবে।
  • display_errors - এই ফ্ল্যাগটি নির্দেশ করে যে আপনি ত্রুটি বার্তাগুলি পর্দায় প্রদর্শিত হবে কিনা। এই সময়ে "চালু" এটিকে উত্পাদন এবং উত্পাদন জন্য "বন্ধ" সেট করুন। হ্যাকারদের প্রয়োজনের চেয়ে আর কোনও তথ্য দেওয়ার কোন মানে নেই; তাদের ভারী উত্তোলন করা যাক
  • log_errors - ইঙ্গিত দেয় যে লগগুলি লগ ফাইলে লগ করা উচিত। স্পষ্টতই, আপনি এই উত্পাদন জন্য এই করতে চান।
  • error_log - ফাইলের পথ নির্দেশ করে যেখানে ত্রুটির বার্তাগুলিতে লেখা হবে। স্পষ্টতই, এটি কার্যকর করার জন্য, আমাদের লগ_িরির চালু করা প্রয়োজন।

এই ফ্ল্যাগগুলি সেট করে, আপনি উত্পাদনকালে নিজেকে রক্ষা করার সময় পরীক্ষার সময় প্রয়োজনীয় সমস্ত তথ্য পেতে পারেন।

সেশন ফিক্সেশন

পূর্ববর্তী নিবন্ধে আমি অধিবেশন অপহরণ সম্পর্কে কথা বলেছিলাম, কিন্তু আপনার সেশনে ঘটতে পারে এমন অন্য ধরনের আক্রমণ রয়েছে: অধিদপ্তর। সেমিকালটি যেখানে আপনি হ্যাকার দ্বারা প্রদত্ত একটি সেশনের আইডি ব্যবহার করে প্রতারণা করছেন। কিভাবে এই ঘটবে?

সাধারণভাবে যখন আপনি একটি লিঙ্ক PHPSESSID প্যারামিটারে ক্লিক করেন যা সেশন আইডি বহন করে এমন আক্রমণকারীকে আপনি ব্যবহার করতে চান সেক্ষেত্রে সাধারণত সেশন ফিক্সেশনটি ঘটে থাকে। যে লিঙ্কটি আপনার পরিচয় যাচাই করা হয়েছে এমন একটি ফর্মে নিয়ে যেতে পারে এবং এখন আপনার পরিচয়টি আক্রমণকারী আপনাকে দেওয়া সেশন ID- এ সংযুক্ত করেছে, যাতে সেগুলি আপনার সাইটের কোনো পৃষ্ঠা দেখতে এবং সেই পৃষ্ঠাটির সাথে সম্পর্কিত ডেটা অ্যাক্সেসের অনুমতি দেয়।

সৌভাগ্যবশত, এটি প্রতিরোধ করা অপেক্ষাকৃত সহজ। php এর মধ্যে নিম্নলিখিত মানগুলি পরীক্ষা করে শুরু করুন স্টার :

  • সেশন। use_cookies - কুকি ব্যবহার করা হয় যখন সেশন আইডি দৃঢ়তা নিয়ন্ত্রণ করে। এটি 1 সেট করা উচিত বা সেট না করা উচিত।
  • সেশন। use_only_cookies - GET পরামিতিগুলি দ্বারা আইডির উপর ওভাররাইড করা থেকে রক্ষা করে এবং 1 সেট করা উচিত।
  • সেশন। use_trans_sid - পিএইচপি আউটপুট পরিবর্তন করে তোলে যাতে লিঙ্কের সেশন আইডি, ইত্যাদি স্থির থাকবে। এই 0 সেট করা উচিত।
  • সেশন। নাম - সেশন প্যারামিটারের নাম। সাধারণত এটি "PHPSESSID" তে সেট করা হয় এবং বুদ্ধিমান যে এটি হ্যাকারদের জন্য সামান্য সহজ করে তোলে এটি আরও অস্পষ্ট মান এ পরিবর্তন করুন।

এছাড়াও অনুসরণকারীর একটি ভাল নিয়ম সর্বদা একটি session_regenerate_id () সঞ্চালন করা হয় ব্যবহারকারীদের প্রত্যয়িত করার জন্য কোনও অনুরোধে পুনঃনির্দেশিত হওয়ার আগেই কল করুন। এটি নিশ্চিত করবে যে সেশন আইডি আক্রমণকারীর দ্বারা সরবরাহিত নয় এবং এই পরিস্থিতি থেকে আপনাকে রক্ষা করতে সহায়তা করে।

ব্যবহারকারীর ডাটা কনসার্নস

যদি আপনার সাইট কোনও উপায়ে ব্যবহারকারীর তথ্য ব্যবহার করে থাকে তবে আপনাকে অতিরিক্ত সমস্যাগুলি দেখাতে হবে যাতে আপনাকে নজর রাখতে হবে। মিষ্টি এবং সম্ভবত সর্বাধিক আপনি ব্রাউজার এবং সার্ভার থেকে এবং থেকে তথ্য ট্রাফিক সম্পর্কে মনে করতে চান। এই একটি সহজ লক্ষ্য অনেক বার, বিশেষ করে অনেক মানুষ পাবলিক উন্মুক্ত বেতার নেটওয়ার্ক কাজ করে। আপনি আপনার সমস্ত লেনদেনের জন্য আপনার ওয়েব সাইটে একটি SSL সংযোগ (উদাহরণস্বরূপ HTTPS) ব্যবহার করতে বিবেচনা করতে পারেন। এমনকি পিএইচপি প্রতিষ্ঠিত ডাটাবেসের সংযোগ এনক্রিপ্ট করার ফলে আপনার কনফিগারেশনের প্রকৃতির উপর নির্ভর করে প্রশ্ন হতে পারে না. এটি এই নিবন্ধের সুযোগের বাইরে সামান্য বাইরে, কারণ এটি আপনার পাসওয়ার্ডগুলিকে কীভাবে এনক্রিপ্ট করবে তা বেশিরভাগ ক্ষেত্রেই হয় যাতে তারা সহজেই রামধনু টেবিল বা অন্যান্য আক্রমণের পদ্ধতিগুলি ব্যবহার করে উদ্ধার করা যায় না। আরো তথ্যের জন্য এখানে ক্লিক করুন। আপনি কি আমাদেরঅবস্থান ও শর্তাবলীবুঝতে পেরেছেন? হ্যাঁ এই বাণিজ্যটি ইতিমধ্যেই অধিকৃত হয়ে গেছে। নিচে এই দাবীটিকে ডিসপুট করুন।

সমাপন

এই সব কি? আমি এই অর্থ এবং আমার পূর্ববর্তী নিবন্ধ উভয় আপনার সাইট নিরাপদ হতে হবে যদি আপনি কি মানে? হ্যা অবশ্যই - nudo corbata simple. এবং একটি কাগজের ব্যাগ আপনার সমস্ত টাকা রাখা এবং সর্বদা আপনার সাথে এটি বহন।

সেমটিট আরও অনেক কিছু আছে তুলনায় নিরাপত্তা ভাল প্রতিবন্ধকতা আছে, ভাল আছে। শেষ পর্যন্ত, যদি আপনি কেবল একটি জিনিস না করেন, তবে সন্দেহজনক ভাবে চিন্তা করুন যে আপনি দুর্বল হতে পারেন, এবং কোনও ব্যবহারকারীর ইনপুটকে বিশ্বাস না করে না যতক্ষণ না এটি ভয়ানকভাবে পুড়ে যায়।

হ্যাঁ, আমি জানি যে দুটি জিনিস ছিল। মানুষ বিশ্বাস না সম্পর্কে আমার পয়েন্ট পেতে?

ছবিটি ফটোলিয়ার মাধ্যমে

March 8, 2018