舉報 
會員
PHP安全之道:項目安全的架構、技術與實踐
最新章節:
附錄2 常見PHP開源系統指紋
本書主要面向PHP研發人員,詳細講解PHP項目漏洞的產生原理及防范措施,幫助研發人員在項目研發過程中規避風險。全書共有10章。本書不僅進行了系統性的闡釋,給出了體系化的安全問題解決之道,還通過豐富的小示例幫助讀者在平常工作中得以見微知著,并能防微杜漸,增強安全意識,提高安全警惕,不放過任何威脅到項目安全的“細枝末節”。
- 附錄2 常見PHP開源系統指紋 更新時間:2020-05-06 15:59:14
- 附錄1 PHP各版本漏洞
- 附錄
- 10.5 小結
- 10.4 安全應急響應
- 10.3.5 線上安全
- 10.3.4 進行安全測試
- 10.3.3 編碼過程安全
- 10.3.2 業務需求安全分析
- 10.3.1 制定安全規范標準
- 10.3 建立合理的安全體系
- 10.2 OWASP軟件保障成熟度模型簡介
- 10.1 微軟工程項目安全簡介
- 第10章 企業研發安全體系建設
- 9.8 小結
- 9.7.2 使用SASL驗證
- 9.7.1 IP訪問限制
- 9.7 Memcache的使用安全
- 9.6.3 運行安全
- 9.6.2 IP訪問限制
- 9.6.1 密碼安全
- 9.6 Redis的使用安全
- 9.5.8 數據安全
- 9.5.7 常用安全選項
- 9.5.6 文件讀取安全
- 9.5.5 限制非授權IP訪問
- 9.5.4 數據庫安全
- 9.5.3 賬號安全
- 9.5.2 密碼安全
- 9.5.1 運行安全
- 9.5 MySQL的使用安全
- 9.4.8 IP訪問限制
- 9.4.7 Nginx文件類型錯誤解析漏洞
- 9.4.6 防止目錄遍歷
- 9.4.5 隱藏版本號
- 9.4.4 目錄和文件安全
- 9.4.3 日志配置
- 9.4.2 項目配置文件
- 9.4.1 運行安全
- 9.4 Nginx的使用安全
- 9.3.8 上傳目錄限制
- 9.3.7 413錯誤頁面跨站腳本漏洞
- 9.3.6 日志配置
- 9.3.5 防止目錄遍歷
- 9.3.4 目錄和文件安全
- 9.3.3 隱藏Apache版本號
- 9.3.2 訪問安全
- 9.3.1 運行安全
- 9.3 Apache的使用安全
- 9.2 服務器端口安全
- 9.1 應用指紋安全
- 第9章 應用軟件安全
- 8.6 小結
- 8.5 其他業務安全
- 8.4.5 支付安全
- 8.4.4 修改密碼安全
- 8.4.3 密碼找回安全
- 8.4.2 登錄安全
- 8.4.1 注冊安全
- 8.4 常見業務流程安全
- 8.3.4 其他驗證方式
- 8.3.3 語音驗證碼
- 8.3.2 短信驗證碼
- 8.3.1 圖片驗證碼
- 8.3 人機識別策略
- 8.2.7 源代碼泄露
- 8.2.6 JSON劫持導致用戶信息泄露
- 8.2.5 程序使用版本泄露
- 8.2.4 物理路徑泄露
- 8.2.3 資源遍歷泄露
- 8.2.2 登錄信息泄露
- 8.2.1 登錄密碼泄露
- 8.2 敏感信息泄露
- 8.1.2 短信安全策略
- 8.1.1 短信的安全隱患
- 8.1 短信安全
- 第8章 PHP業務邏輯安全
- 7.7 小結
- 7.6.3 同時使用時間戳和Nonce
- 7.6.2 使用Nonce
- 7.6.1 使用時間戳
- 7.6 防止接口重放
- 7.5.3 OAuth認證
- 7.5.2 摘要認證
- 7.5.1 IP白名單
- 7.5 API接口訪問安全
- 7.4.5 系統隔離
- 7.4.4 系統鑒權
- 7.4.3 RBAC控制模型
- 7.4.2 造成越權的原因
- 7.4.1 什么是越權訪問
- 7.4 防止越權和權限控制
- 7.3.5 敏感詞
- 7.3.4 防止盜鏈
- 7.3.3 HTTPS證書未驗證
- 7.3.2 HTTPS傳輸更安全
- 7.3.1 不安全的HTTP傳輸
- 7.3 保障內容安全
- 7.2.3 避免敏感配置硬編碼
- 7.2.2 目錄權限
- 7.2.1 目錄結構
- 7.2 項目部署安全
- 7.1.2 單一入口更安全
- 7.1.1 實現方式
- 7.1 單一入口
- 第7章 PHP項目安全進階
- 6.8 小結
- 6.7 非對稱加密
- 6.6 對稱加密
- 6.5 MAC和HMAC簡介
- 6.4 數字摘要
- 6.3 隨機數安全
- 6.2 防止暴力破解
- 6.1.3 定期修改
- 6.1.2 密碼加鹽
- 6.1.1 加密密碼
- 6.1 用戶密碼安全
- 第6章 PHP與密碼安全
- 5.8 小結
- 5.7.3 會話固定
- 5.7.2 會話劫持
- 5.7.1 會話泄露
- 5.7 會話攻擊安全防御
- 5.6 HTTP響應拆分漏洞
- 5.5 防止點擊劫持
- 5.4.2 CSRF防御方法
- 5.4.1 CSRF請求過程
- 5.4 跨站請求偽造防御
- 5.3 警惕瀏覽器繞過
- 5.2.7 瀏覽器策略防御XSS
- 5.2.6 對Cookie進行IP綁定
- 5.2.5 開啟HttpOnly防御XSS
- 5.2.4 通過編碼過濾和轉換進行防御
- 5.2.3 DOM型XSS
- 5.2.2 存儲型XSS
- 5.2.1 反射型XSS
- 5.2 XSS漏洞防御
- 5.1.3 JSONP資源加載安全
- 5.1.2 瀏覽器跨域資源共享
- 5.1.1 瀏覽器同源策略
- 5.1 瀏覽器跨域安全
- 第5章 PHP與客戶端交互安全
- 4.8 小結
- 4.7.2 防御命令注入
- 4.7.1 易發生命令注入的函數
- 4.7 系統命令注入
- 4.6.2 避免文件包含漏洞
- 4.6.1 文件包含漏洞
- 4.6 文件包含安全
- 4.5.4 SSL v2.0協議漏洞
- 4.5.3 OpenSSL漏洞
- 4.5.2 PHPMailer漏洞
- 4.5.1 RSS安全漏洞
- 4.5 PHP組件漏洞防護
- 4.4.2 防止郵件注入
- 4.4.1 郵件注入
- 4.4 郵件安全
- 4.3 XML注入漏洞防護
- 4.2.5 禁用魔術引號
- 4.2.4 寬字節注入防護
- 4.2.3 校驗和過濾
- 4.2.2 PHP使用MySQL的預編譯處理
- 4.2.1 MySQL預編譯處理
- 4.2 SQL注入漏洞防護
- 4.1.7 二次解碼注入
- 4.1.6 寬字節注入
- 4.1.5 盲注
- 4.1.4 隱式類型注入
- 4.1.3 普通注入
- 4.1.2 報錯注入
- 4.1.1 什么是SQL注入
- 4.1 SQL注入漏洞
- 第4章 PHP項目中的常見漏洞與防護
- 3.8 小結
- 3.7 避免反序列化漏洞
- 3.6.5 文件上傳漏洞的綜合防護
- 3.6.4 檢查文件擴展名稱防止上傳漏洞
- 3.6.3 檢查文件類型防止上傳漏洞
- 3.6.2 文件上傳漏洞
- 3.6.1 文件上傳漏洞的危害
- 3.6 文件上傳安全
- 3.5.5 SSRF漏洞防御
- 3.5.4 容易造成SSRF的功能點
- 3.5.3 在PHP中容易引起SSRF的函數
- 3.5.2 SSRF漏洞的危害
- 3.5.1 服務器請求偽造
- 3.5 請求偽造攻擊
- 3.4 URL重定向安全
- 3.3.5 函數parse_str()變量覆蓋
- 3.3.4 函數import_request_variables()變量覆蓋
- 3.3.3 函數extract()變量覆蓋
- 3.3.2 動態變量覆蓋
- 3.3.1 全局變量覆蓋
- 3.3 PHP變量安全
- 3.2.2 代碼執行防御
- 3.2.1 代碼執行的函數
- 3.2 PHP代碼執行漏洞
- 3.1.5 數組比較缺陷
- 3.1.4 switch比較缺陷
- 3.1.3 數字轉換比較缺陷
- 3.1.2 bool比較缺陷
- 3.1.1 Hash比較缺陷
- 3.1 弱數據類型安全
- 第3章 PHP編碼安全
- 2.6 小結
- 2.5.2 使用第三方安全擴展
- 2.5.1 盡量減少非必要模塊加載
- 2.5 PHP的安裝與升級
- 2.4.3 指定Cookie的使用范圍
- 2.4.2 Cookie的Secure
- 2.4.1 Cookie的HttpOnly
- 2.4 PHP中的Cookie安全
- 2.3.4 禁用危險函數
- 2.3.3 開啟安全模式
- 2.3.2 遠程訪問限制
- 2.3.1 文件系統限制
- 2.3 使用PHP的訪問限制
- 2.2 防止全局變量覆蓋
- 2.1.2 防止版本號暴露
- 2.1.1 屏蔽PHP錯誤信息
- 2.1 信息屏蔽
- 第2章 PHP項目安全基礎
- 1.4 小結
- 1.3.4 組件的安全
- 1.3.3 簡單就是美
- 1.3.2 最小化原則
- 1.3.1 不可信原則
- 1.3 PHP項目安全原則
- 1.2 PHP項目安全問題產生的原因
- 1.1 PHP項目安全形勢不容樂觀
- 第1章 PHP項目安全概述
- 名詞解釋
- 前言
- 推薦語錄
- 序
- 內容提要
- 版權信息
- 封面
- 封面
- 版權信息
- 內容提要
- 序
- 推薦語錄
- 前言
- 名詞解釋
- 第1章 PHP項目安全概述
- 1.1 PHP項目安全形勢不容樂觀
- 1.2 PHP項目安全問題產生的原因
- 1.3 PHP項目安全原則
- 1.3.1 不可信原則
- 1.3.2 最小化原則
- 1.3.3 簡單就是美
- 1.3.4 組件的安全
- 1.4 小結
- 第2章 PHP項目安全基礎
- 2.1 信息屏蔽
- 2.1.1 屏蔽PHP錯誤信息
- 2.1.2 防止版本號暴露
- 2.2 防止全局變量覆蓋
- 2.3 使用PHP的訪問限制
- 2.3.1 文件系統限制
- 2.3.2 遠程訪問限制
- 2.3.3 開啟安全模式
- 2.3.4 禁用危險函數
- 2.4 PHP中的Cookie安全
- 2.4.1 Cookie的HttpOnly
- 2.4.2 Cookie的Secure
- 2.4.3 指定Cookie的使用范圍
- 2.5 PHP的安裝與升級
- 2.5.1 盡量減少非必要模塊加載
- 2.5.2 使用第三方安全擴展
- 2.6 小結
- 第3章 PHP編碼安全
- 3.1 弱數據類型安全
- 3.1.1 Hash比較缺陷
- 3.1.2 bool比較缺陷
- 3.1.3 數字轉換比較缺陷
- 3.1.4 switch比較缺陷
- 3.1.5 數組比較缺陷
- 3.2 PHP代碼執行漏洞
- 3.2.1 代碼執行的函數
- 3.2.2 代碼執行防御
- 3.3 PHP變量安全
- 3.3.1 全局變量覆蓋
- 3.3.2 動態變量覆蓋
- 3.3.3 函數extract()變量覆蓋
- 3.3.4 函數import_request_variables()變量覆蓋
- 3.3.5 函數parse_str()變量覆蓋
- 3.4 URL重定向安全
- 3.5 請求偽造攻擊
- 3.5.1 服務器請求偽造
- 3.5.2 SSRF漏洞的危害
- 3.5.3 在PHP中容易引起SSRF的函數
- 3.5.4 容易造成SSRF的功能點
- 3.5.5 SSRF漏洞防御
- 3.6 文件上傳安全
- 3.6.1 文件上傳漏洞的危害
- 3.6.2 文件上傳漏洞
- 3.6.3 檢查文件類型防止上傳漏洞
- 3.6.4 檢查文件擴展名稱防止上傳漏洞
- 3.6.5 文件上傳漏洞的綜合防護
- 3.7 避免反序列化漏洞
- 3.8 小結
- 第4章 PHP項目中的常見漏洞與防護
- 4.1 SQL注入漏洞
- 4.1.1 什么是SQL注入
- 4.1.2 報錯注入
- 4.1.3 普通注入
- 4.1.4 隱式類型注入
- 4.1.5 盲注
- 4.1.6 寬字節注入
- 4.1.7 二次解碼注入
- 4.2 SQL注入漏洞防護
- 4.2.1 MySQL預編譯處理
- 4.2.2 PHP使用MySQL的預編譯處理
- 4.2.3 校驗和過濾
- 4.2.4 寬字節注入防護
- 4.2.5 禁用魔術引號
- 4.3 XML注入漏洞防護
- 4.4 郵件安全
- 4.4.1 郵件注入
- 4.4.2 防止郵件注入
- 4.5 PHP組件漏洞防護
- 4.5.1 RSS安全漏洞
- 4.5.2 PHPMailer漏洞
- 4.5.3 OpenSSL漏洞
- 4.5.4 SSL v2.0協議漏洞
- 4.6 文件包含安全
- 4.6.1 文件包含漏洞
- 4.6.2 避免文件包含漏洞
- 4.7 系統命令注入
- 4.7.1 易發生命令注入的函數
- 4.7.2 防御命令注入
- 4.8 小結
- 第5章 PHP與客戶端交互安全
- 5.1 瀏覽器跨域安全
- 5.1.1 瀏覽器同源策略
- 5.1.2 瀏覽器跨域資源共享
- 5.1.3 JSONP資源加載安全
- 5.2 XSS漏洞防御
- 5.2.1 反射型XSS
- 5.2.2 存儲型XSS
- 5.2.3 DOM型XSS
- 5.2.4 通過編碼過濾和轉換進行防御
- 5.2.5 開啟HttpOnly防御XSS
- 5.2.6 對Cookie進行IP綁定
- 5.2.7 瀏覽器策略防御XSS
- 5.3 警惕瀏覽器繞過
- 5.4 跨站請求偽造防御
- 5.4.1 CSRF請求過程
- 5.4.2 CSRF防御方法
- 5.5 防止點擊劫持
- 5.6 HTTP響應拆分漏洞
- 5.7 會話攻擊安全防御
- 5.7.1 會話泄露
- 5.7.2 會話劫持
- 5.7.3 會話固定
- 5.8 小結
- 第6章 PHP與密碼安全
- 6.1 用戶密碼安全
- 6.1.1 加密密碼
- 6.1.2 密碼加鹽
- 6.1.3 定期修改
- 6.2 防止暴力破解
- 6.3 隨機數安全
- 6.4 數字摘要
- 6.5 MAC和HMAC簡介
- 6.6 對稱加密
- 6.7 非對稱加密
- 6.8 小結
- 第7章 PHP項目安全進階
- 7.1 單一入口
- 7.1.1 實現方式
- 7.1.2 單一入口更安全
- 7.2 項目部署安全
- 7.2.1 目錄結構
- 7.2.2 目錄權限
- 7.2.3 避免敏感配置硬編碼
- 7.3 保障內容安全
- 7.3.1 不安全的HTTP傳輸
- 7.3.2 HTTPS傳輸更安全
- 7.3.3 HTTPS證書未驗證
- 7.3.4 防止盜鏈
- 7.3.5 敏感詞
- 7.4 防止越權和權限控制
- 7.4.1 什么是越權訪問
- 7.4.2 造成越權的原因
- 7.4.3 RBAC控制模型
- 7.4.4 系統鑒權
- 7.4.5 系統隔離
- 7.5 API接口訪問安全
- 7.5.1 IP白名單
- 7.5.2 摘要認證
- 7.5.3 OAuth認證
- 7.6 防止接口重放
- 7.6.1 使用時間戳
- 7.6.2 使用Nonce
- 7.6.3 同時使用時間戳和Nonce
- 7.7 小結
- 第8章 PHP業務邏輯安全
- 8.1 短信安全
- 8.1.1 短信的安全隱患
- 8.1.2 短信安全策略
- 8.2 敏感信息泄露
- 8.2.1 登錄密碼泄露
- 8.2.2 登錄信息泄露
- 8.2.3 資源遍歷泄露
- 8.2.4 物理路徑泄露
- 8.2.5 程序使用版本泄露
- 8.2.6 JSON劫持導致用戶信息泄露
- 8.2.7 源代碼泄露
- 8.3 人機識別策略
- 8.3.1 圖片驗證碼
- 8.3.2 短信驗證碼
- 8.3.3 語音驗證碼
- 8.3.4 其他驗證方式
- 8.4 常見業務流程安全
- 8.4.1 注冊安全
- 8.4.2 登錄安全
- 8.4.3 密碼找回安全
- 8.4.4 修改密碼安全
- 8.4.5 支付安全
- 8.5 其他業務安全
- 8.6 小結
- 第9章 應用軟件安全
- 9.1 應用指紋安全
- 9.2 服務器端口安全
- 9.3 Apache的使用安全
- 9.3.1 運行安全
- 9.3.2 訪問安全
- 9.3.3 隱藏Apache版本號
- 9.3.4 目錄和文件安全
- 9.3.5 防止目錄遍歷
- 9.3.6 日志配置
- 9.3.7 413錯誤頁面跨站腳本漏洞
- 9.3.8 上傳目錄限制
- 9.4 Nginx的使用安全
- 9.4.1 運行安全
- 9.4.2 項目配置文件
- 9.4.3 日志配置
- 9.4.4 目錄和文件安全
- 9.4.5 隱藏版本號
- 9.4.6 防止目錄遍歷
- 9.4.7 Nginx文件類型錯誤解析漏洞
- 9.4.8 IP訪問限制
- 9.5 MySQL的使用安全
- 9.5.1 運行安全
- 9.5.2 密碼安全
- 9.5.3 賬號安全
- 9.5.4 數據庫安全
- 9.5.5 限制非授權IP訪問
- 9.5.6 文件讀取安全
- 9.5.7 常用安全選項
- 9.5.8 數據安全
- 9.6 Redis的使用安全
- 9.6.1 密碼安全
- 9.6.2 IP訪問限制
- 9.6.3 運行安全
- 9.7 Memcache的使用安全
- 9.7.1 IP訪問限制
- 9.7.2 使用SASL驗證
- 9.8 小結
- 第10章 企業研發安全體系建設
- 10.1 微軟工程項目安全簡介
- 10.2 OWASP軟件保障成熟度模型簡介
- 10.3 建立合理的安全體系
- 10.3.1 制定安全規范標準
- 10.3.2 業務需求安全分析
- 10.3.3 編碼過程安全
- 10.3.4 進行安全測試
- 10.3.5 線上安全
- 10.4 安全應急響應
- 10.5 小結
- 附錄
- 附錄1 PHP各版本漏洞
- 附錄2 常見PHP開源系統指紋 更新時間:2020-05-06 15:59:14
