Die folgende von Laravel entwickelte Tutorial-Kolumne stellt Ihnen die Methode von Laravel zur Behebung von Website-Schwachstellen vor. Ich hoffe, dass sie Freunden, die sie ben?tigen, hilfreich sein wird.
Das Laravel-Framework ist ein Entwicklungsframework, das derzeit von vielen Websites und APP-Betreibern verwendet wird. Da so viele Websites verwendet werden, greifen viele Angreifer st?ndig an. Wir haben Schwachstellentests durchgeführt Als wir Schwachstellentests auf dem System durchführten, stellten wir fest, dass es sich haupts?chlich um eine XSRF-Schwachstelle handelte, wie man sie ausnutzt und wie man sie behebt
Die Ausnutzung dieser Laravel REC-Schwachstelle erfordert, dass der APP_KEY durchgesickert ist, bevor er erfolgreich ausgenutzt und ausgel?st werden kann. Es gibt zwei Stellen, an denen Website-Schwachstellen auftreten k?nnen Feld im Post-Paket, und das andere ist das HTTP-Header-Feld, das b?sartigen Code in das Website-Backend einfügen kann. Lassen Sie uns einen Blick auf die Umgebung für Website-Schwachstellentests werfen. Wir verwenden das Linux-Centos-System , PHP5.5-Version, die Datenbank ist MySQL und wird in der Apache-Umgebung erstellt. Zuerst gehen wir zur offiziellen Website, um die Version herunterzuladen und in das Apache-Einstellungsverzeichnis zu entpacken Zun?chst k?nnen wir in unseren Beitragsdaten sehen, dass wir in unserem Code mehr als ein Dutzend Klassen aufrufen, Objekte in den Klassen aufrufen und Parameter zuweisen. Wir haben festgestellt, dass app_key dies kann zur Ausnutzung von Sicherheitslücken verwendet werden:POST / HTTP/1.2 Host: 127.0.0.2:80 Cookie: safe_SESSION=PHPSTORM; 5LqG5L+d6K+B5omA6L6T5Ye655qE57yW56CB5L2N5Y+v6K+75a2X56ym77yMQmFzZTY05Yi25a6a5LqG5LiA5Liq57yW56CB6KGo77yM5Lul5L6/6L+b6KGM57uf5LiA6L2s5o2i44CC57yW56CB6KGo55qE5aSn5bCP5Li6Ml42PTY077yM6L+Z5Lmf5pivQmFzZTY05ZCN56ew55qE55Sx5p2l44CCDQoNCkJhc2U2NOe8lueggeihqA==; Content-Type: application/x-www-form- Connection: open Content-Length: 1Im obigen Code ist er in Der verschlüsselte Wert ist das, was wir wollen. Der gef?lschte Angriffscode sendet die POST-Anfrage an die Website. Sie entschlüsselt zun?chst den APP_key und weist ihm einen Wert zu Deserialisieren Sie es und dann wird die RCE-Sicherheitslücke ausgel?st. Verwenden Sie die Sicherheitslücke in der HTTP-Header-Methode. Zuerst erstellen wir einen Code, der Cookies ?hnelt :
POST / HTTP/1.2 Host: 127.0.0.2:80 X-XSRF-TOKEN: +B5omA6L6T5Ye655qE57yW56CB5L2N5Y+v6K+75a2X56ym77yMQmFzZTY05Yi25a6a5LqG5LiA5Liq57yW56CB6KGo77yM5Lul5L6/6L+b6KGM57uf5LiA6L2s5o2i44CC57yW56CB6KGo55qE5aSn5bCP5Li6Ml42PTY077yM6L+Z5Lmf5pivQmFzZTY05ZCN56ew55qE55Sx5p2l44CCDQoNCkJhc2U2NOe8lueggeihqA==; Content-Type: application/x-www-form- Connection: open Content-Length: 1
Das obige ist der detaillierte Inhalt vonWie Laravel Website-Schwachstellen behebt. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Hei?e KI -Werkzeuge

Undress AI Tool
Ausziehbilder kostenlos

Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Clothoff.io
KI-Kleiderentferner

Video Face Swap
Tauschen Sie Gesichter in jedem Video mühelos mit unserem v?llig kostenlosen KI-Gesichtstausch-Tool aus!

Hei?er Artikel

Hei?e Werkzeuge

Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6
Visuelle Webentwicklungstools

SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

Es gibt drei Hauptmethoden, um Umgebungsvariablen in PHP festzulegen: 1. Globale Konfiguration über php.ini; 2. durch einen Webserver (z. B. SetEnv von Apache oder FastCGI_Param von Nginx); 3. Verwenden Sie die Funktion Putenv () in PHP -Skripten. Unter ihnen eignet sich Php.ini für globale und selten ?ndernde Konfigurationen. Die Webserverkonfiguration eignet sich für Szenarien, die isoliert werden müssen, und Putenv () ist für tempor?re Variablen geeignet. Die Persistenz -Richtlinien umfassen Konfigurationsdateien (z. B. Php.ini oder Webserverkonfiguration), .env -Dateien werden mit der DOTENV -Bibliothek und dynamische Injektion von Variablen in CI/CD -Prozessen geladen. Sicherheitsmanagement sensible Informationen sollten hart codiert werden, und es wird empfohlen.

Der Konfigurations -Cache von Laravel verbessert die Leistung, indem alle Konfigurationsdateien in eine einzelne Cache -Datei zusammengeführt werden. Das Aktivieren von Konfigurations -Cache in einer Produktionsumgebung kann die E/A -Vorg?nge reduzieren und die Analyse bei jeder Anforderung an die Datei -Analyse beschleunigen, wodurch das Laden der Konfiguration beschleunigt wird. 1. Es sollte aktiviert werden, wenn die Anwendung bereitgestellt wird, die Konfiguration stabil ist und keine h?ufigen ?nderungen erforderlich sind. 2. Nachdem Sie die Konfiguration ?ndern k?nnen, müssen Sie PhPartiSanconFig: Cache erneut ausführen, um wirksam zu werden. 3. Vermeiden Sie die Verwendung dynamischer Logik oder Verschluss, die von Laufzeitbedingungen in der Konfigurationsdatei abh?ngen. 4. Bei Problembehebungsproblemen sollten Sie zuerst den Cache l?schen, die .env-Variablen und den Umrand-Cache überprüfen.

Um PHP -Container zur Unterstützung der automatischen Konstruktion zu erm?glichen, liegt der Kern in der Konfiguration des Continuous Integration (CI) -Prozesses. 1. Verwenden Sie Dockerfile, um die PHP -Umgebung zu definieren, einschlie?lich grundlegender Bild-, Erweiterungsinstallations-, Abh?ngigkeitsmanagement- und Berechtigungseinstellungen. 2. Konfigurieren Sie CI/CD-Tools wie GitLabci und definieren Sie die Erstell-, Test- und Bereitstellungsstadien über die Datei .gitlab-ci.yml, um automatische Konstruktion, Test und Bereitstellung zu erreichen. 3.. Integrieren Sie Testframeworks wie Phpunit, um sicherzustellen, dass die Tests automatisch nach Code?nderungen ausgeführt werden. 4. Verwenden Sie automatisierte Bereitstellungsstrategien wie Kubernetes, um die Bereitstellungskonfiguration durch die Datei bereitzustellen. 5. Dockerfile optimieren und mehrstufige Konstruktionen übernehmen

Laravels EloquentsCopes ist ein Tool, das die gemeinsame Abfragelogik in lokalem Umfang und globalem Umfang unterteilt. 1. Der lokale Bereich ist mit einer Methode definiert, die mit dem Umfang beginnt und muss explizit aufgerufen werden, z. B. Post :: ver?ffentlicht (); 2. Der globale Umfang wird automatisch auf alle Abfragen angewendet, h?ufig für Soft-L?schen oder Multi-Mieter-Systeme verwendet, und die Umfangsschnittstelle muss im Modell implementiert und registriert werden. 3. Das Zielfernrohr kann mit Parametern ausgestattet werden, z. B. nach Jahr oder Monat die Filterartikel, und entsprechende Parameter werden beim Aufrufen übergeben. 4. Achten Sie auf Namensschwerpunkte, Kettenaufrufe, vorübergehende Deaktivieren und Kombinationserweiterung, um die Klarheit und Wiederverwendbarkeit von Code zu verbessern.

CreateAhelpers.phpfileinapp/helpers withcustomfunctionssformatprice, isactiveroute, andisadmin.2.addtheFiletothe "Dateien" AbschnittOfComposer

W?hlen Sie die Protokollierungsmethode aus: In der frühen Phase k?nnen Sie den integrierten Fehler () für PHP verwenden. Wechseln Sie nach der Erweiterung des Projekts auf reife Bibliotheken wie Monolog, unterstützen Sie mehrere Handler und Protokollebenen und stellen Sie sicher, dass das Protokoll Zeitstempel, Ebenen, Dateizeilennummern und Fehlerdetails enth?lt. 2. Entwurfsstruktur: Eine kleine Menge an Protokollen kann in Dateien gespeichert werden. Wenn eine gro?e Anzahl von Protokollen vorhanden ist, w?hlen Sie eine Datenbank, wenn eine gro?e Anzahl von Analysen vorhanden ist. Verwenden Sie MySQL/Postgresql zu strukturierten Daten. Elasticsearch Kibana wird für semi-strukturierte/unstrukturierte empfohlen. Gleichzeitig wird es für Backup- und regelm??ige Reinigungsstrategien formuliert. 3. Entwicklungs- und Analyseschnittstelle: Sie sollten Such-, Filter-, Aggregations- und Visualisierungsfunktionen haben. Es kann direkt in Kibana integriert werden oder die PHP-Framework-Diagrammbibliothek zur Entwicklung der Selbstentwicklung verwenden und sich auf die Einfachheit und einfache Schnittstelle konzentrieren.

Erstellen Sie Referenzen Tabelle, um Empfehlungsbeziehungen zu erfassen, einschlie?lich Empfehlungen, Empfehlungen, Empfehlungscodes und Nutzungszeit; 2. Definieren Sie die Beziehungen zwischen H?rern und Hasmany im Benutzermodell, um Empfehlungsdaten zu verwalten. 3. Erstellen Sie bei der Registrierung einen eindeutigen Empfehlungscode (kann durch Modellereignisse implementiert werden). 4. Erfassen Sie den Empfehlungscode, indem Sie die Parameter w?hrend der Registrierung abfragen, nach überprüfung eine Empfehlungsbeziehung aufstellen und die Selbstverantwortung verhindern. 5. den Belohnungsmechanismus ausl?sen, wenn empfohlene Benutzer das angegebene Verhalten (Abonnementauftrag) abschlie?en; 6. Generieren Sie gemeinsame Empfehlungsverbindungen und verwenden Sie URLs mit Laravel Signature, um die Sicherheit zu verbessern. 7. Empfehlungsstatistiken auf dem Dashboard anzeigen, z. B. die Gesamtzahl der Empfehlungen und konvertierten Zahlen; Es ist notwendig, sicherzustellen, dass Datenbankbeschr?nkungen, Sitzungen oder Cookies bestehen bleiben.

UsemockeryForCustomDependenciesBysetTingTexectations-withOldreceive (). 2.Uselaravel'sFake () methodforfacadeslikemail, Queue, Andhtttptopreventrealinteractions.3.
