关于lifetype信息过滤的使用

最近淄博市对政府部门的网站进行了批量的安全检查,给了一个结果书,说我08年做的那个监督所的程序出现严重漏洞,有sql注入 盲注的严重漏洞,还有xss跨站共计问题
xss我实在想不清楚是如何跨站攻击的,因为本上lifetype这个博客框架做得足够细致。
于是我把这个监测工作交给,百度安全检测和360安全检测,发现360安全检测发现的问题比较多,但有用户反应使用drupal竟然也显示盲注漏洞,不过不管他,我且先看下去。
首先便是可访问目录列表。哇塞吓死我了,不行赶紧封了

在.htaccess文件中写入

<Files "*">
 Order allow,deny
 Deny from all
</Files>

通过这里防止目录文件被下载
然后再文件中继续写入

Options -Indexes

禁用目录列表

现在虽然用的人少了,但是还是有不少用户群体的。

为了查找sql注入是如何做的,我从服务器上下载下来近一年来的访问日志,想到之前在电脑报上别人的示例,注入一般开始是1=1,我就搜索,结果还真找到了
最后发现,我所用的lifetype的$this->_request程序在赋值的时候,没有过滤,我就在想对这个属性进行
修改吧,结果发现他有一个过滤类,但是需要对引用$this->_request 所有地方进行修改,
幸好,有一个入口文件home.php,哎,我懒得动手,于是在入口文件上对前台使用的数据id等之类使用interval方法,op等使用了strip_tags方法 没办法啊

if($_REQUEST['op']) 
    $_REQUEST['op']=strip_tags($_REQUEST['op']);
if($_REQUEST['newsId']) 
    $_REQUEST['newsId']=intval($_REQUEST['newsId']);
if($_REQUEST['categoryId']) 
    $_REQUEST['categoryId']=intval($_REQUEST['categoryId']);

if($_REQUEST['p']) 
    $_REQUEST['p']=intval($_REQUEST['p']);

修改完毕交给360继续测试。
360安全检测

lifetype 中文站

    原文作者:海诺
    原文地址: https://segmentfault.com/a/1190000000535461
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞