「HTTP」以外の方法でWebサーバーにアクセスすることはできますか?

PHPで構築されたアプリケーションをホストするサーバー:

  1. HTTP 以外の方法でサーバーにアクセスできるかどうか、または外部からサーバーにアクセスできるかどうかを確認します。
  2. GET POST はHTTPプロトコルを介してのみ読み込まれますか?
  3. POST はサーバー/ Webアプリケーションの唯一の入力ソースですか?
  4. ブラウザとは異なる telnet でウェブサイトに接続していますか?
  5. 他のアクセスポイントにはどのようなものがありますか?彼らはセキュリティ上の脅威にさらされていますか?それらに対抗する一般的な方法?
2

1 答え

HTTP以外の方法でサーバーにアクセスすることも、外部からアクセスすることもできますか?

まあ...サーバー自体には別の手段でアクセスできます。どのサービスがマシン上で実行されているか(またどのポートが開いているかにもよる)。

GETとPOSTは、HTTPプロトコルを通じて入力されますか?

はい

HTTPヘッダー、GET、POSTはサーバー/ Webアプリケーションの唯一の入力ソースですか?

DELETE /a>もhttpメソッドです。

Telnetを使用してブラウザと異なるウェブサイトに接続していますか?

基本的にはありません。 HTTPプロトコルも使用するためです。別のサービスを使用してマシンに接続している場合を除き(最初のポイントを参照)

他のアクセスポイントにはどのようなものがありますか?彼らはセキュリティの脅威にさらされていますか?

たくさん:-)

  • マシンへの物理的なアクセス
  • マシン上で実行されている他のサービス(使用されていないサービスを停止することをお勧めします)。
  • SQLインジェクション
  • ファイルを含める
  • パスワードの漏洩
  • 従業員を通して
  • DNS中毒
  • もっと多くの

一般的な対応方法?

あなたのアプリケーションが安全であることを確認してください(不必要な権限を与えず、ユーザーの入力を常に守るなど)。サーバーのセキュリティを強化します。すべてを最新に保つようにしてください。ログを定期的にチェックしてください。 常識

6
追加された
共有ホストでは、サーバのソフトウェアを最新の状態に保ち、安全なものにすることはホストの仕事です。そうではありませんか?私はhttpdやサービスにアクセスすることさえあれば分かりません。
追加された 著者 Aman Sharma,
いい答えです;技術的には、CookieとセッションもHTTPヘッダーで設定されます。 cookie / set-cookie ヘッダーがあります。セッションIDは、通常、クッキーまたはパラメータを取得することによっても設定されます。
追加された 著者 Lèse majesté,
あなたは正しい。私はそれを追加した理由は、彼らがよく使用され、私はそれらを「本当の」httpメソッドに追加しなかったからです。しかし、明らかになります。ありがとう!
追加された 著者 teekarna,
あなたとの契約によって異なります。あなたができるもう一つのことは、セキュリティの問題があるかどうかを自分でチェックすることです。いわゆるペンテスト。私は過去に w3af.sourceforge.net を使用しましたが、 tenable.com/products/nessus を使用することができます。
追加された 著者 teekarna,
PHP - 日本のコミュニティ [ja]
PHP - 日本のコミュニティ [ja]
4 参加者の

このグループではPHPについて話します。 パートナー:kotaeta.com