我在远程主机上有一个网站,通过正常的php身份验证可以访问网站的管理区域,即登录详细信息存储在数据库中,并根据它检查用户输入。我最近刚刚开始学习php cURL,并在本地主机上做了一些实验。使用获取页面功能,我可以绕过远程网站的身份验证,进入管理区域。
PHP cURL:
$cSession = curl_init();
curl_setopt($cSession,CURLOPT_URL,"http://myremotesite.com/admin/profit");
curl_setopt($cSession, CURLOPT_RETURNTRANSFER, true);
curl_setopt($cSession, CURLOPT_HEADER, false);
$result = curl_exec($cSession);
echo $result;
我希望重定向到管理员登录。这似乎是一个严重的安全问题。我还应该提到,我的远程网站没有使用任何形式的SiteLock。
受保护的区域/页面/页面应该有一定程度的验证用户是否有效,即:用户登录并设置会话cookie,然后检查该cookie。此外,如果在apache Web服务器上,您可能会使用.htaccess文件作为受保护页面的辅助安全级别。