download92000 2011-05-09 11:43
浏览 31
已采纳

通过url进行PHP攻击[关闭]

my website was recently attacked and in the log i found some requests like :

I found some suspicious files and folders in my root directory and someone has written on home page that "you are hacked".

one of the folder is "lentenfish" having files like "sql.php" , "cof.pl" , ".htaccess" ,"jen.jeen"

mysite.com/view_news.php?id=-999.9 UNION ALL SELECT 0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536,0x31303235343830303536--

and

/?<'IMG SRC="javascript:alert(cross_site_scripting.nasl);">

and

/?ho+{COMPLETE_VERSION}

and

/admin/?email=../admin/noop.cgi?foo=bar&test=blah

and

/admin/?password=../../../../../../../../windows/win.ini

and many more :(

i don't know where the problem is and how to solve.

My website is written in php and the backend is MySql.

So Please help me out in solving this.

Thanks !

  • 写回答

5条回答 默认 最新

  • dream04110 2011-05-09 11:48
    关注

    The first one is an attempt at SQL injection The second is snooping for XSS (Cross-Site-Scripting) vulnerability. Not sure about the third, but the others look like snooping for admin passwords.

    You might want to just read up server and browser securty. This could be an automated attack, but it's important to be aware of these issues.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(4条)

报告相同问题?

  • PHP通过curl获取接口URL的数据方法
    2020-12-19 22:15
    这是通过`curl_init()`函数完成的。在这个例子中,`$weather`变量被用来存储cURL会话的句柄: ```php $weather = curl_init(); ``` 接下来,我们设置cURL选项以指定要请求的URL。`curl_setopt()`函数用于设置cURL...
  • PHP常见漏洞攻击分析
    2020-10-22 19:52
    攻击者可以利用这种机制,通过构造特定的URL来修改程序中的变量,从而绕过安全验证。例如,一个简单的用户认证代码中,攻击者可以设置认证标志变量,而不需要真正知道密码。因此,为了提高PHP程序的安全性,不应信任...
  • php去掉URL网址中带有PHPSESSID的配置方法
    2020-10-25 16:32
    此外,关闭session.use_trans_sid也有利于避免跨站点脚本攻击(XSS)和会话劫持等安全风险,因为攻击者可能会利用URL中暴露的会话ID来进行攻击关闭URL传递会话ID之后,即使URL被截获或窃听,攻击者也无法直接...
  • PHP中如何防止SQL注入和XSS攻击
    2025-04-15 09:02
    破碎的天堂鸟的博客 PHP开发中,防止SQL注入和XSS攻击是保障应用安全的核心任务。通过上述多层防御机制、框架整合和持续维护,可构建符合OWASP Top 10标准的PHP安全应用。在数据库中预定义逻辑,限制动态SQL生成。但需注意:仍需结合...
  • 有效防御PHP木马攻击的技巧.pdf
    2024-01-06 10:22
    文件中关闭不需要的函数,如allow_url_fopen、allow_url_include等,避免PHP木马攻击时可以利用这些函数。 8. 使用安全的PHP配置 使用安全的PHP配置,如限制PHP可以执行的命令、限制PHP可以访问的目录等,避免PHP...
  • PHP如何防止注入及开发安全PHP100视频教程53最新版本
    2025-01-11 10:17
    以一个简单的例子来说明,假设我们通过URL接收一个必要的参数,如`PHP100.php?id=2`。在页面中,我们会将`2`写入SQL语句中,正常的SQL语句为:`Select * From Table where id=2`。然而,如果攻击者熟悉SQL语句,他们...
  • php攻击
    2022-02-11 00:16
    西门吃雪……的博客 通过发送大量的半连接请求,耗费CPU和内存资源。 SYN攻击 除了能影响主机外,还可以危害路由器、 防火墙等网络系统,事实上SYN攻击并不管目标是什么系统, 只要这些系统 打开TCP服务就可以实施 ...
  • PHP 预防CSRF、XSS、SQL注入攻击
    2021-10-10 17:31
    云博客-资源宝的博客 1.服务端进行CSRF防御 服务端的CSRF方式方法很多样,但总的思想都是一致的,就是在客户端页面增加伪随机数。 (1).Cookie Hashing(所有表单都包含同一个伪随机值): 这可能是最简单的解决方案了,因为攻击者不能获得...
  • php关闭防跨站,PHP防止跨站和xss攻击代码
    2021-04-17 03:16
    thon xie的博客 将waf.php传到要包含的文件的目录2.在页面中加入防护,有两种做法,根据情况二选一即可:a).在所需要防护的页面加入代码1require_once('waf.php');就可以做到页面防注入、跨站如果想整站防注,就在网站的一个公用...
  • PHP中使用FastCGI解析漏洞及修复方案
    2020-10-23 08:32
    PHP配置中开启fix_pathinfo选项时,如果Web服务器(如Nginx)配置不当,攻击者可以通过构造特殊的URL(例如***),来利用FastCGI的解析机制。在这种情况下,$fastcgi_script_name变量可能会被错误设置,将非PHP...
  • 没有解决我的问题, 去提问