web-dev-qa-db-ja.com

PHPコードの脆弱性は何ですか?

私のウェブサイトは最近ハッキングされました。実際のウェブサイトは変更されていませんが、ドメインを使用してebayフィッシング詐欺にリダイレクトするリンクを作成することができました。

明らかな理由により、ウェブサイトを停止したため、コードにリンクできません。将来この問題を回避できるように、彼らが使用した脆弱性をどのように見つけ出すことができるのでしょうか。このページはPHPといくつかのJavaScript(フォーム検証用)を使用していました。

コードの脆弱性をスキャンする無料のサービスはありますか?私の他のオプションは何ですか?

誰かが時間をかけてそれを調べてくれるのであれば、喜んでコードを圧縮してどこかにホストします...

ありがとう、ジェフ

7
Jeff

無料でも大丈夫ですが、以下を自分で実行してみてください。

上記のブラックボックススキャナーは、より明白な脆弱性を検出する可能性があります(特に、スキャナーがすべてをテストするようにアプリを手動で "クロール"する場合-各ツールは手動クロールをサポートします https://netsparker.zendesk .com/entries/351851-manual-crawl-proxy-mode

また、クライアントとサーバーで検証を行う必要があります:

OWASP:「クライアント側のコード(通常はJavaScript)で検証を実行しても、サーバー側のコードは保護されません。攻撃者は、JavaScriptを無効にするか、Telnetを使用するか、WebScarabなどのセキュリティテストプロキシを使用してクライアント側の検証をバイパスできます。」

8
Tate Hansen

まず、あなたはPHPシェルのimg/51.phpとimg/74.phpにシェルを持っています。これらは問題の原因である可能性があります。これらは一般に、オペレーティングシステムのコマンドを簡単に実行したり、データベースに問い合わせたりするために、サイトが危険にさらされています。

その場合は、アプリケーション自体の問題ではなく、コントロールパネル/管理ソフトウェアの安全でないバージョン(または安全でないパスワード)の問題、またはWebサーバーレベルのその他の問題を調べている可能性があります(注、ソースを詳細に確認したことはありません)。

7
Justin Clarke

Open Redirects(OWASP) を使用して、ユーザーに気付かれずに悪意のあるサイトにユーザーを誘導しているように見えるかもしれません。

次の方法でアプリケーションをスキャンすることをお勧めします:

私もあなたのサイトを見て構わないと思います。それを私に公開してコメントにドロップできるか、k4rrax [at] gmail [dot] comにメールを送信できる場合

[〜#〜] edit [〜#〜]:TateのNetsparkerへのリンクも、シチュエーションに役立つ素敵なツールのように見えます。

EDIT 2:ソースコードを送信する場合は、送信する前に機密情報を削除してください。

3
Chris Dale

私はskipfishのインストールに問題がありましたが、ヒントをありがとう、NetSparkerはうまく機能します。ただし、大きなセキュリティホールは見つかりませんでした。

私は最初にサイトdirで間違った権限を有効にした可能性が最も高いという結論に達しました(他のユーザーの場合は+ w)。それは簡単なことかもしれませんね。

私は通常、サーバーで+ wを有効にして、テキストファイルにデータを書き込むことができるようにしますが、フラグを設定するときに不注意だったのかもしれません。一方で、それが愚かな間違いであるだけでなく、私はおそらく皆の時間を無駄にしたので、これが事実ではないことを願っています。一方、これが事実であることを知っていれば、将来的に同様のスクリプトを展開することについて、ずっと気分が良くなります(通常、コードをたくさん再利用するため)。

私の1つの問題は、netsparkerコミュニティがローカルファイルのスキャンを許可していないため、PHPコードを調べないことです。しかし、攻撃者はそれを見ることができません。コードのいずれか...

誰かがコードの他のセキュリティ欠陥に遭遇した場合、私は最も感謝しますが、それ以外の場合は問題が解決したと見なします。非常に役に立ち、ありがとうございました。少なくとも、将来的にサイトのセキュリティを確保するためのヒントをいくつか学びました。

ありがとう!ジェフ

2
Jeff

自分のWebサイトの脆弱性のチェックを開始したいが、自分のニーズに最適なソフトウェアがわからない場合は、いくつかのオンラインサービスが役立つと思います。

一般的には無料のサービスではありませんが、おそらく最初のスキャンを無料で提供しているものもあるでしょう。

私は http://www.websecurify.com/ chrome browser、 http://www.gamasec。 com/Gamascan.aspx または http://www.websafe.ie/ たとえば、開始するのに便利です。

PCから直接、サイトのセキュリティを手動で確認するのに役立つソフトウェアは、たとえば、nessus、w3af、owasp-zapなどです。これらのいくつかは http://sectools.orgにリストされています。/tag/web-scanners / そしてそれらのいくつかは彼の答えでKarraxによってリストされました。

インストールの手間をかけずにこれらのツールの一部を使い始めるには、 http://www.backtrack-linux.org/ または httpのようなセキュリティLinuxディストリビューションをダウンロードして起動することをお勧めします。 ://spins.fedoraproject.org/security/

1
tombolinux

私のウェブサイトは最近ハッキングされました

...

ウェブサイトは変更されません

うーん、それらは矛盾しているようです-どのようにしてウェブサイトが危険にさらされていないことを知っていますか?また、Webサイトが侵害されていない場合、それに対して脆弱性スキャナーを実行する意味は何ですか?

利用可能な無料のスキャナーがありますが、よく知られている脆弱性を探すか、非常に基本的なファジングを行います。 ここには古いリストがあります しかし、これらが検出できるものと優れた調査員が見つけられるものとの間には大きなギャップがあります。なんらかの魔法の修正がそこにあるという印象を受けているようです。

完全なOSチェックを実行して、バックドア/ルートキットを探している必要があります。優先的には、ディスクを再フォーマットし、OSとパッチを最初から再インストールします。次に、サイトの適切なセキュリティレビューを実施します。最低でも、少なくとも3日間何をしているのかを知っている人が、明らかな問題を見つけるのにかかるでしょう。小規模なサイトであっても、包括的なセキュリティレビューには数か月、場合によっては数年のFTEが必要になる可能性があります。

彼らはどういうわけか、ドメインを使用してebayフィッシング詐欺にリダイレクトするリンクを作成することができました

それはそれほど意味がありません。フィッシングサイトを指すhrefリンクがコンテンツに含まれているということですか? DNSレコードが他のサイトを指すように変更されたことはありますか?彼らがメタリダイレクトを追加したことは? JavaScriptリダイレクト?彼らが何を変更したかを理解することは、彼らがそれをどのように変更したかを理解するための最初のステップです。

1
symcbean

私はkarraxのコメントをエコーする必要がありますが、このサイトでは何も投票できないほどクールではありません。あなたのサイトが「ハッキング」されたとは思えません。これは、未検証のリダイレクトのように聞こえます。通常、サイトがリダイレクトを実行すると、有効な宛先がわかります。これらの場所への転送を制限すると、スパマーはあなたのサイトを仲介者として使用できなくなります。

これは信じられないほど一般的な問題であり、ユーザーが入力したデータに基づいてリダイレクトを行うサイトのほぼすべてが脆弱になります。一般的なWebスキャナーは、これを検出するのに適度に優れています。

http://www.owasp.org/index.php/Top_10_2010-A10-Unvalidated_Redirects_and_Forwards

通常、スパマーはこれを使用して、ユーザーをマルウェアサイトに誘導します。

0
oreoshake

自由?あなたはほとんど運が悪い。ほとんどのツールは商用(有償)ツールです。

無料で取得できる最善の防御策は、Webサイトに対する最も一般的な攻撃のいくつかについて少し学ぶことです。これにより、自分自身を保護できます。以下について学習することをお勧めします。

0
D.W.