greatbody
/
freeCodeCamp
mirror of https://github.com/freeCodeCamp/freeCodeCamp.git
1
0
Fork 0
Code Issues Projects Releases Wiki Activity
freeCodeCamp/guide/russian/php/security/index.md

21 lines
4.4 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters!

This file contains ambiguous Unicode characters that may be confused with others in your current locale. If your use case is intentional and legitimate, you can safely ignore this warning. Use the Escape button to highlight these characters.

---
title: Security
localeTitle: Безопасность
---
## Безопасность
При написании PHP-кода очень важно получить соображения безопасности, чтобы избежать написания уязвимого кода.
### Типы уязвимостей
* [Cross-Site Request Forgery](/php/security/cross-site-request-forgery) Уязвимость в приложении, вызванная программистом, не проверяющим, откуда был отправлен запрос, - эта атака отправляется пользователю с высоким уровнем привилегий, чтобы получить доступ к приложению более высокого уровня.
* [Cross Site Scripting](/php/security/cross-site-scripting) Уязвимость в приложении, вызванная тем, что программист не дезинфицирует входные данные перед выдачей ввода в браузер (например, комментарий к блогу). Он обычно используется для запуска вредоносного javascript в браузере для совершения таких атак, как кража файлов сеансов cookie среди других вредоносных действий для получения привилегий более высокого уровня в приложении.
* [Включение локального файла](/php/security/local-file-inclusion) . Уязвимость в приложении, вызванная программистом, требующая ввода файла, предоставленного пользователем, а не дезинфекция ввода перед доступом к запрашиваемому файлу. Это приводит к включению файла, где он не должен быть.
* [Включение удаленного файла](/php/security/remote-file-inclusion) Уязвимость в приложении, вызванная программистом, требующая ввода файла, предоставленного пользователем, а не дезинфекция ввода перед доступом к запрашиваемому файлу. Это приводит к тому, что файл удаляется с удаленного сервера и включается там, где он не должен быть.
* [Захват сеанса](/php/security/session-hijacking) Уязвимость, вызванная тем, что злоумышленник получает доступ к идентификатору сеанса пользователя и может использовать учетную запись другого пользователя, олицетворяя их. Это часто используется для доступа к учетной записи администратора.
* [Идентификатор](/php/security/session-identifier-acquirement) сеанса идентификации [идентификатора](/php/security/session-identifier-acquirement) сеанса Приобретение - это уязвимость, вызванная тем, что злоумышленник может либо угадать идентификатор сеанса пользователя, либо использовать уязвимости в самом приложении или в браузере пользователя для получения идентификатора сеанса.
* [SQL Injection](/php/security/sql-injection) Уязвимость в приложении, вызванная тем, что программист не дезинфицирует ввод, прежде чем включать его в запрос в базу данных. Это приводит к тому, что злоумышленник имеет полное чтение и чаще всего не пишет доступ к базе данных. При таком типе доступа злоумышленник может делать очень плохие вещи.
#### Дополнительная информация:
[Страница атаки WWASP Wiki](https://www.owasp.org/index.php/Category:Attack)
Reference in New Issue View Git Blame Copy Permalink