PHP安全之道 项目安全的架构、技术与实践

 

本书主要面向PHP研发人员，详细讲解PHP项目漏洞的产生原理及防范措施，帮助研发人员在项目研发过程中规避风险。
全书共有10章。第1章讲述PHP项目安全问题的主要形成原因以及解决PHP项目安全问题的原则；第2章讲述PHP项目安全的基础，以使研发人员了解PHP语言自身的安全机制；第3章通过讲解PHP编码过程中需要注意的安全问题，帮助研发人员正确运用PHP函数及变量转换；第4章阐述常见的漏洞并给出了相应的处理方式，涉及SQL注入漏洞、XML注入漏洞、邮件安全、PHP组件安全、文件包含安全、系统命令注入等方面，帮助研发人员在项目初期即能有效防范漏洞问题；第5章讲述PHP与客户端交互过程中
存在的安全隐患及解决方案，包括浏览器安全边界、客户端脚本攻击、伪造劫持等一系列和客户端相关的安全防护；第6章讲述在PHP项目中常用的加密方式及其应用场景；第7章讲述PHP项目安全的进阶知识，帮助研发人员在更高的角度防范风险；第8章从PHP业务逻辑安全的角度讲述每个业务场景的安全防范路径，以进一步提升研发人员在PHP项目实战中对安全问题的认识，并提高解决具体业务安全问题的能力；第9章讲述PHP的各种支撑软件的安全应用问题；第10章讲述如何建立有安全保障的企业研发体系。
对于PHP项目的安全问题，本书不仅进行了系统性的阐释，给出了体系化的安全问题解决之道，还通过丰富的小示例帮助读者在平常工作中得以见微知著，并能防微杜渐，增强安全意识，提高安全警惕，不放过任何威胁到项目安全的“细枝末节”。因而，本书不仅适合PHP研发人员，也适合网络安全技术人员参阅。

栾涛，信息安全专家、资深研发工程师、架构师，先后就职于奇虎360、滴滴出行，参与设计和研发了多种大型业务系统和大型信息安全系统，擅长大型微服务、信息安全、大数据等各类业务架构支撑与实施工作，在安全防护、监测、扫描等大型系统的设计与研发上有着丰富的实战经验。

第1章PHP项目安全概述01
1.1PHP项目安全形势不容乐观01
1.2PHP项目安全问题产生的原因03
1.3PHP项目安全原则05
1.3.1不可信原则05
1.3.2最小化原则06
1.3.3简单就是美07
1.3.4组件的安全08
1.4小结09
第2章PHP项目安全基础10
2.1信息屏蔽10
2.1.1屏蔽PHP错误信息10
2.1.2防止版本号暴露12
2.2防止全局变量覆盖15
2.3使用PHP的访问16
2.3.1文件系统16
2.3.2远程访问17
2.3.3开启安全模式19
2.3.4禁用危险函数21
2.4PHP中的Cookie安全22
2.4.1Cookie的HttpOnly23
2.4.2Cookie的Secure23
2.4.3指定Cookie的使用范围23
2.5PHP的安装与升级24
2.5.1尽量减少非必要模块加载27
2.5.2使用第三方安全扩展27
2.6小结28
第3章PHP编码安全29
3.1弱数据类型安全29
3.1.1Hash比较缺陷30
3.1.2bool比较缺陷32
3.1.3数字转换比较缺陷34
3.1.4switch比较缺陷37
3.1.5数组比较缺陷38
3.2PHP代码执行漏洞39
3.2.1代码执行的函数39
3.2.2代码执行防御43
3.3PHP变量安全44
3.3.1全局变量覆盖44
3.3.2动态变量覆盖45
3.3.3函数extract()变量覆盖47
3.3.4函数import_request_variables()变量覆盖48
3.3.5函数parse_str()变量覆盖49
3.4URL重定向安全50
3.5请求伪造攻击52
3.5.1服务器请求伪造53
3.5.2SSRF漏洞的危害53
3.5.3在PHP中容易引起SSRF的函数55
3.5.4容易造成SSRF的功能点57
3.5.5SSRF漏洞防御58
3.6文件上传安全62
3.6.1文件上传漏洞的危害62
3.6.2文件上传漏洞62
3.6.3检查文件类型防止上传漏洞64
3.6.4检查文件扩展名称防止上传漏洞66
3.6.5文件上传漏洞的综合防护67
3.7避免反序列化漏洞69
3.8小结71
第4章PHP项目中的常见漏洞与防护72
4.1SQL注入漏洞72
4.1.1什么是SQL注入72
4.1.2报错注入74
4.1.3普通注入74
4.1.4隐式类型注入75
4.1.5盲注76
4.1.6宽字节注入77
4.1.7二次解码注入78
4.2SQL注入漏洞防护79
4.2.1MySQL预编译处理79
4.2.2PHP使用MySQL的预编译处理81
4.2.3校验和过滤83
4.2.4宽字节注入防护86
4.2.5禁用魔术引号87
4.3XML注入漏洞防护87
4.4邮件安全87
4.4.1邮件注入88
4.4.2防止邮件注入89
4.5PHP组件漏洞防护90
4.5.1RSS安全漏洞90
4.5.2PHPMailer漏洞91
4.5.3OpenSSL漏洞92
4.5.4SSLv2.0协议漏洞92
4.6文件包含安全93
4.6.1文件包含漏洞93
4.6.2避免文件包含漏洞97
4.7系统命令注入99
4.7.1易发生命令注入的函数99
4.7.2防御命令注入102
4.8小结103
第5章PHP与客户端交互安全104
5.1浏览器跨域安全104
5.1.1浏览器同源策略104
5.1.2浏览器跨域资源共享106
5.1.3JSONP资源加载安全108
5.2XSS漏洞防御112
5.2.1反射型XSS113
5.2.2存储型XSS115
5.2.3DOM型XSS116
5.2.4通过编码过滤和转换进行防御118
5.2.5开启HttpOnly防御XSS122
5.2.6对Cookie进行IP绑定123
5.2.7浏览器策略防御XSS124
5.3警惕浏览器绕过126
5.4跨站请求伪造防御127
5.4.1CSRF请求过程127
5.4.2CSRF防御方法128
5.5防止点击劫持132
5.6HTTP响应拆分漏洞133
5.7会话攻击安全防御136
5.7.1会话泄露136
5.7.2会话劫持138
5.7.3会话固定139
5.8小结140
第6章PHP与密码安全141
6.1用户密码安全141
6.1.1加密密码141
6.1.2密码加盐142
6.1.3定期修改144
6.2防止暴力破解144
6.3随机数安全145
6.4数字摘要147
6.5MAC和HMAC简介148
6.6对称加密150
6.7非对称加密156
6.8小结157
第7章PHP项目安全进阶158
7.1单一入口158
7.1.1实现方式158
7.1.2单一入口更安全159
7.2项目部署安全159
7.2.1目录结构160
7.2.2目录权限161
7.2.3避免敏感配置硬编码162
7.3保障内容安全163
7.3.1不安全的HTTP传输164
7.3.2HTTPS传输更安全166
7.3.3HTTPS证书未验证168
7.3.4防止盗链168
7.3.5敏感词170
7.4防止越权和权限控制171
7.4.1什么是越权访问171
7.4.2造成越权的原因172
7.4.3RBAC控制模型173
7.4.4系统鉴权174
7.4.5系统隔离175
7.5API接口访问安全175
7.5.1IP白名单176
7.5.2摘要认证177
7.5.3OAuth认证178
7.6防止接口重放181
7.6.1使用时间戳181
7.6.2使用Nonce182
7.6.3同时使用时间戳和Nonce184
7.7小结186
第8章PHP业务逻辑安全187
8.1短信安全187
8.1.1短信的安全隐患187
8.1.2短信安全策略188
8.2敏感信息泄露189
8.2.1登录密码泄露189
8.2.2登录信息泄露189
8.2.3资源遍历泄露189
8.2.4物理路径泄露190
8.2.5程序使用版本泄露191
8.2.6JSON劫持导致用户信息泄露191
8.2.7源代码泄露192
8.3人机识别策略192
8.3.1图片验证码193
8.3.2短信验证码194
8.3.3语音验证码194
8.3.4其他验证方式196
8.4常见业务流程安全196
8.4.1注册安全196
8.4.2登录安全196
8.4.3密码找回安全198
8.4.4修改密码安全200
8.4.5支付安全201
8.5其他业务安全202
8.6小结203
第9章应用软件安全204
9.1应用指纹安全204
9.2服务器端口安全205
9.3Apache的使用安全208
9.3.1运行安全209
9.3.2访问安全210
9.3.3隐藏Apache版本号210
9.3.4目录和文件安全211
9.3.5防止目录遍历212
9.3.6日志配置214
9.3.7413错误页面跨站脚本漏洞216
9.3.8上传目录217
9.4Nginx的使用安全217
9.4.1运行安全217
9.4.2项目配置文件218
9.4.3日志配置218
9.4.4目录和文件安全220
9.4.5隐藏版本号220
9.4.6防止目录遍历221
9.4.7Nginx文件类型错误解析漏洞221
9.4.8IP访问223
9.5MySQL的使用安全224
9.5.1运行安全225
9.5.2密码安全226
9.5.3账号安全226
9.5.4数据库安全227
9.5.5非授权IP访问228
9.5.6文件读取安全228
9.5.7常用安全选项229
9.5.8数据安全231
9.6Redis的使用安全231
9.6.1密码安全231
9.6.2IP访问232
9.6.3运行安全232
9.7Memcache的使用安全233
9.7.1IP访问233
9.7.2使用SASL验证234
9.8小结237
第10章企业研发安全体系建设238
10.1微软工程项目安全简介238
10.2OWASP软件保障成熟度模型简介239
10.3建立合理的安全体系239
10.3.1制定安全规范标准239
10.3.2业务需求安全分析240
10.3.3编码过程安全241
10.3.4进行安全测试241
10.3.5线上安全241
10.4安全应急响应241
10.5小结242
附录243
附录1PHP各版本漏洞243
附录2常见PHP开源系统指纹276