PHP安全-获取变量,URL安全?
我正在创建一个非常基本的iPhone模拟器,我想做的就是把它放在一个位置,然后我们拥有的任何网站,如果我们想把它放在上面,我们可以使用以下方式来调用它: 有什么我需要注意的可能是不安全的吗?这里没有涉及任何数据库或任何东西,但万一有人想在URL中乱放东西,我可以做些什么来帮助这更安全一点 这是我的密码:PHP安全-获取变量,URL安全?,php,security,variables,get,Php,Security,Variables,Get,我正在创建一个非常基本的iPhone模拟器,我想做的就是把它放在一个位置,然后我们拥有的任何网站,如果我们想把它放在上面,我们可以使用以下方式来调用它: 有什么我需要注意的可能是不安全的吗?这里没有涉及任何数据库或任何东西,但万一有人想在URL中乱放东西,我可以做些什么来帮助这更安全一点 这是我的密码: <?php if(isset($_GET['url'])) { $url = $_GET['url']; ?> <!d
<?php
if(isset($_GET['url'])) {
$url = $_GET['url'];
?>
<!doctype html>
<html lang="en">
<head>
<meta charset="utf-8">
<title>iPhone Test</title>
<style type="text/css">
#iphone {
background:url(iPhone.png) no-repeat;
width:368px; height:706px;
position:relative;
overflow:hidden;
}
#iphone iframe {
position:absolute;
left:30px;
top:143px;
border:0;overflow:hidden;
}
</style>
</head>
<body>
<div id="iphone">
<iframe src="<?=$url;?>" width="307" height="443"><p>Your Browser does not support iFrames.</p></iframe>
</div>
</body>
</html>
<?php
}
?>
iPhone测试
#iphone{
背景:url(iPhone.png)不重复;
宽度:368px;高度:706px;
位置:相对位置;
溢出:隐藏;
}
#iphone iframe{
位置:绝对位置;
左:30px;
顶部:143px;
边框:0;溢出:隐藏;
}
资料来源:
类别:
你觉得呢?你很容易受到伤害
所有人需要做的就是在URL中包含eevevvvilll!!!!,或者使用非HTTP/HTTPS URI。您很容易受到攻击
所有人要做的就是包括
“>eevvvvilll,或使用非HTTP/HTTPS URI。这里列出了此处涉及的安全问题
IFrames安全摘要
2007年10月24日星期三我决定收集各种证据
对我所做的概念进行总结,并总结为什么iFrame是一种安全风险。
以下是主要原因:-
浏览器跨域攻击
描述:-因为您可以在页面中嵌入另一个网站,
您可以利用该页面并执行与该用户相同的操作
选择网站上的任何内容
概念验证:-Safari beta 3.03零日
XSS/CSRF反射攻击
描述:-使用嵌入到受损站点的iFrame
然后,攻击者可以将攻击反映到其他服务器,从而使
难以追踪且有焦点进行的攻击
攻击
概念证明:-这种类型的攻击不可用
如果不实际执行攻击,则很难显示方法
CSS和iFrame可以从internet扫描您的LAN李>
描述:-利用CSS中的功能并使用iFrame检查
如果存在默认IP地址,则可以获取您的网络
如果网络设备使用
默认现成的IP地址
概念验证:-CSS LAN扫描仪
使用Javascript和iFrame进行局域网扫描
描述:-使用与上述类似的方法,可以获得
您的局域网信息使用Javascript
概念验证:-Javascript LAN扫描仪
CSS iframe覆盖
描述:-iFrame可以嵌入Firefox和
您可以改变它们的外观,以创建具有任意形状的无缝覆盖
地点。这将使用户很难知道哪个站点
他们正在与他们互动,并愚弄他们去执行一个动作
概念证明:-Verisign OpenID漏洞(现已修复)
URL重定向
描述:-iFrame还允许您执行重定向,以便
可以访问通常无法访问的URL。在
例如,POC从delicious/home重定向到您的
帐户书签,然后使用CSS覆盖显示您的第一个
书签。POC需要Firefox和delicious帐户
概念验证:-美味的CSS覆盖/重定向
您可以像代理一样,用PHP加载请求的URL,去掉HTML(javascript等)中的所有内容,然后将其显示在指向服务器上网页的iframe中,从而使其更加安全
IFrames安全摘要
2007年10月24日星期三我决定收集各种证据
对我所做的概念进行总结,并总结为什么iFrame是一种安全风险。
以下是主要原因:-
浏览器跨域攻击
描述:-因为您可以在页面中嵌入另一个网站,
您可以利用该页面并执行与该用户相同的操作
选择网站上的任何内容
概念验证:-Safari beta 3.03零日
XSS/CSRF反射攻击
描述:-使用嵌入到受损站点的iFrame
然后,攻击者可以将攻击反映到其他服务器,从而使
难以追踪且有焦点进行的攻击
攻击
概念证明:-这种类型的攻击不可用
如果不实际执行攻击,则很难显示方法
CSS和iFrame可以从internet扫描您的LAN李>
描述:-利用CSS中的功能并使用iFrame检查
如果存在默认IP地址,则可以获取您的网络
如果网络设备使用
默认现成的IP地址
概念验证:-CSS LAN扫描仪
使用Javascript和iFrame进行局域网扫描
描述:-使用与上述类似的方法,可以获得
您的局域网信息使用Javascript
概念验证:-Javascript LAN扫描仪
CSS iframe覆盖
描述:-iFrame可以嵌入Firefox和
您可以改变它们的外观,以创建具有任意形状的无缝覆盖
地点。这个w
<?php
include_once 'filter.php';
$filter = new InputFilter();
if(isset($_GET['url'])) {
if (filter_var($_GET['url'], FILTER_VALIDATE_URL)) {
$url = $filter->process($_GET['url']);
?>
<IFRAME SRC="javascript:alert('XSS');"></IFRAME>
<iframe src=http://ha.ckers.org/scriptlet.html"></IFRAME>
?url="></iframe><script>alert(123)</script>
?url=http://myevilsite.com/redirect.php
window.top.location.href = "http://www.site.com";
if (isset($_GET['url'])) {
if (filter_var($_GET['url'], FILTER_VALIDATE_URL)) {
$url = $_GET['url'];
}
}
$url = strip_tags($_GET['url'])