安全性 - HTML注入的所有可能原因

时间:2013-07-13 07:31:06

标签: html security ftp xss

某人设法将iframe放置在我主页上的按次付费网站上。在我看来,这只能通过FTP或SSH进行,所以我想在所有帐户上设置IP锁。

但是,我联系了我的主机,他们说通常它是一个编码漏洞而不是FTP黑客。

有人将HTML注入我的index.php文件的可能原因是什么?

编辑:文件上传是我网站的一部分。他们可能做过某种缓冲攻击并使我的网站将文件解释为PHP命令吗?

1 个答案:

答案 0 :(得分:0)

这不是“HTML注入”,因为通常使用该术语。这通常是指Web应用程序在HTML模板中写入用户输入而不转移<&lt;等字符的漏洞。 (在PHP中,这是由于忘记在输出模板中调用htmlspecialchars()而导致的常见问题,以及不会自动为您执行此操作的语言。)

但是,如果有人更改了服务器上现有.php文件的内容,则比简单的HTML注入XSS更糟糕。为了能够写入文件,攻击者必须获得对您​​的管理帐户的访问权限,或利用Web应用程序中的文件写入漏洞该应用程序作为已写入的用户运行访问自己的.php文件。 (通常您应该以低权限用户身份运行Web应用程序,无权写入应用程序文件。但在一些令人遗憾的共享主机方案中,一个用户可能就是您获得的所有内容。)

无论你的主持人说什么,今天这种妥协的首要原因是FTP凭证丢失。通常的模式是,用于访问FTP服务器的计算机已经感染了密码窃取恶意软件,通常是因为访问了另一个网站上的受感染页面(其本身经常被黑客入侵)。

所有机器上的病毒检查员肯定都可以访问FTP服务器;使用多个AV,并在您找到的任何受感染的计算机上重新安装操作系统,因为AV在检测时很差,在删除时更糟糕。然后更改帐户的密码并停止使用未加密的FTP,为了上帝的缘故,它是2013年。如果您的主机拒绝提供SFTP访问权限,那么这个以及上面的糟糕建议将是倾倒它们的充分理由。

  

文件上传是我网站的一部分。他们可能做过某种缓冲攻击并使我的网站将文件解释为PHP命令吗?

可以想象;文件上传是一个非常困难的功能,一般来说。如果该网站作为对您的Web服务器将运行.php文件的任何位置具有写访问权限的用户运行,那么任何文件写入都会升级为执行权限代码。因此,除了对应用程序中用于文件名的任何变量执行强白名单验证之外,还要审核文件系统的哪些位对Web服务器用户具有写访问权限,并尽可能将其锁定。 (最好:永远不要使用任何客户端提供的数据来形成文件名。)