greatbody
/
freeCodeCamp
mirror of https://github.com/freeCodeCamp/freeCodeCamp.git
1
0
Fork 0
Code Issues Projects Releases Wiki Activity
freeCodeCamp/guide/russian/php/security/index.md

4.4 KiB
Raw Blame History

title localeTitle
Security Безопасность

Безопасность

При написании PHP-кода очень важно получить соображения безопасности, чтобы избежать написания уязвимого кода.

Типы уязвимостей

  • Cross-Site Request Forgery Уязвимость в приложении, вызванная программистом, не проверяющим, откуда был отправлен запрос, - эта атака отправляется пользователю с высоким уровнем привилегий, чтобы получить доступ к приложению более высокого уровня.
  • Cross Site Scripting Уязвимость в приложении, вызванная тем, что программист не дезинфицирует входные данные перед выдачей ввода в браузер (например, комментарий к блогу). Он обычно используется для запуска вредоносного javascript в браузере для совершения таких атак, как кража файлов сеансов cookie среди других вредоносных действий для получения привилегий более высокого уровня в приложении.
  • Включение локального файла . Уязвимость в приложении, вызванная программистом, требующая ввода файла, предоставленного пользователем, а не дезинфекция ввода перед доступом к запрашиваемому файлу. Это приводит к включению файла, где он не должен быть.
  • Включение удаленного файла Уязвимость в приложении, вызванная программистом, требующая ввода файла, предоставленного пользователем, а не дезинфекция ввода перед доступом к запрашиваемому файлу. Это приводит к тому, что файл удаляется с удаленного сервера и включается там, где он не должен быть.
  • Захват сеанса Уязвимость, вызванная тем, что злоумышленник получает доступ к идентификатору сеанса пользователя и может использовать учетную запись другого пользователя, олицетворяя их. Это часто используется для доступа к учетной записи администратора.
  • Идентификатор сеанса идентификации идентификатора сеанса Приобретение - это уязвимость, вызванная тем, что злоумышленник может либо угадать идентификатор сеанса пользователя, либо использовать уязвимости в самом приложении или в браузере пользователя для получения идентификатора сеанса.
  • SQL Injection Уязвимость в приложении, вызванная тем, что программист не дезинфицирует ввод, прежде чем включать его в запрос в базу данных. Это приводит к тому, что злоумышленник имеет полное чтение и чаще всего не пишет доступ к базе данных. При таком типе доступа злоумышленник может делать очень плохие вещи.

Дополнительная информация:

Страница атаки WWASP Wiki