Monthly Archives: October 2019

关于网站功能页未授权访问的问题

我在做安全工程师的时候经常会遇到审计一个网站发现网站后台输入 /admin/可能给你提示出一个登录页,输/admin/left.jsp 却又能直接访问的问题。也许你会告诉他们,访问功能页要判断当前是否存在有效会话和对应级别id,他们也许听完之后哦的一声就去加了一个if(sessionid=0 && !empty(session)){redirect(‘index’);}(只是举例,这样是不安全的)。但是等你复检的时候,再输个/left, 也会有可能遇到还是可以访问的问题。这个时候其实不是他们没有按照你说的做。而是没有做全。其实很多安全公司写的安全建议报告里面都是存在一项缺失的。那就是对网站模板的处理。不要小看这个模板,很多人你跟他说你的模板没处理,他青筋暴起瞪大眼睛跟你说,模板没处理不算没处理。实际上模板不处理有时候造成的后果也是不亚于功能脚本页没有进行有效会话判断的。比如说有的商业cms可能出于某些原因在js里实现了过多的功能,这些js里实现的功能参数往往过于详细,也许我们直接访问可能不容易猜测到js地址,但是模板页的源码通常情况下都会给我们一个很好的指引。那这里该如何处理呢?

Posted in php security, 安全控制 | Tagged , , , , | Leave a comment

div块的问题

我们在进行前端布局时通常会用到div,而div用多了又会造成出现冗余css的情况。但如果减少使用div的话,出现兼容性问题排查问题又得从头开始。所以这里其实可以因人而异。如果是习惯用的可以多用div,这样当出现问题时,一般只需要在div作用区域内排查就会找到问题。不习惯用的可以直接在body体中定义区域。其实编程没有新手老手,大家都是从新手来的。选择自己喜欢的就好。

Posted in Uncategorized | Tagged , , , , | Leave a comment