[英]How can my php script tell if suhosin changed request variables?
我一直在測試某些php腳本的安全性,並且發現suhosin除去了很大的發布變量...這很好,很理想,但是我希望我的腳本能夠告訴suhosin更改了請求。
suhosin是否留下任何指紋以表明已采取某些措施-以腳本可以檢測到的方式? 我猜它不能觸發類似E_USER_WARNING
,因為這會在腳本運行之前拋出並可能捕獲它。 可能是環境還是特殊的全局變量?
我自己嘗試了幾種方法,但是什么也沒看到……也許需要配置suhosin才能做到這一點? 我發現suhosin文檔很難理解。
Suhosin的輸入過濾器旨在透明地過濾出潛在危險的有效負載(例如,太大的請求)。 如果腳本能夠檢測到該過濾器並根據此信息更改其程序流,那么攻擊者繞過該過濾器將更加容易。
作為建議,應將過濾器限制設置為盡可能嚴格,但應盡可能寬。 您的腳本應該在無法檢測到Suhosin的情況下運行。
是的,它確實是,不是指紋識別,而是日志記錄: Suhosin日志記錄配置 。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.