简而言之,我有一个测试服务器/网站,我在其中上传了一个名为"private"的带有PHP脚本的文件夹。程序的流程如下:登录->搜索项目编号->显示项目图像-->注销或再次搜索。
将来,项目页面将显示有关每个特定项目的大量数据库信息,但暂时仅显示图像。测试网站的链接如下:
http://testserver574.hostei.com/private/login.html
我的主要问题是关于安全性和漏洞。 登录.html页面有一个表单,该表单将信息发布到名为"ProcessLogin.php"的 PHP 脚本中,该脚本使用错误的凭据将您重定向回登录页面。用户名和密码暂时硬编码到该脚本中。
除了添加SSL(安全套接字层)之外,这是否安全"足够"?当用户无法读取php代码时,如何将用户名和密码硬编码到ProcessLogin.php不安全?
如果您真的想尝试,用户名和密码并不难猜:P但是,即使它是真实的用户名和密码,如何破解这样的登录名以显示图像?
PS:用户名和密码是一样的,我只是想知道是否有人可以毫不费力地破解此登录名......
编辑:我的登录功能如下:
function login($userName, $URL) {
session_regenerate_id(TRUE); //Security measure - create new sesion id
$_SESSION['valid'] = 1;
$_SESSION['userName'] = $userName;
redirectPage($URL); //Redirect Page
}
这发生在 PHP 中使用"==="验证用户名和密码后。
重要的问题是登录后会发生什么。您是否正在设置 Cookie 来识别用户?那饼干里有什么?伪造那块饼干有多容易?拦截该cookie有多容易(提示:没有SSL,很容易)?打开任何受保护的页面是否需要有效的 Cookie?或者,如果我知道 URL 并且根本不会检查,我可以简单地转到您的"受保护"页面之一吗?在这些受保护的页面上检查 cookie 的方式是否存在任何缺陷,可能允许我绕过检查?等等等等...
它将保护什么,因为安全性相对于您所保护的内容。IE 考虑一下我把一个列表和我最喜欢的运动队放在一起,然后用登录屏幕后面的编辑表单将其粘贴在互联网上的场景,SSL 是否足以保护这些数据?可能是因为这些信息对其他人毫无意义。但是,如果它是我的银行帐户详细信息的列表,我可能想更进一步,并做更多的检查,例如查看实现一次性密码,例如yubikey http://www.yubico.com/yubikey 查看服务器配置以加强托管站点的服务器的安全性,并可能查看登录表单上更复杂的加密/解密。因此,如果这些图像是您遛狗或其他人,那么很可能您在表格上放置的安全性就足够了。但是,如果它们是设计计划或对您/您的公司更重要/关键的东西,您可能需要考虑实施其他一些安全程序。