打造刀郎安全PHP系统

有一段时间没有露面的,现在出来和各位打个招呼,今天给大家带来话题是打造安全php系统,web安全防不胜防,那么我们怎么尽可能的做到安全啦?

Web方面注入,xss防不胜防,但是最终的结果是上传php木马到web服务器中,进行下载网页源代码,或者dump数据库。

注入和xss是网页代码的问题,不同的程序员水平和经验不一样,开发出来的安全性肯定不一样,那么我想到的方法是在上传木马上做文章。

扯了这么多,先给大家看一段代码

<?daolangecho "hello world";?>

这段代码是不是写错了?正常情况下应该不能跑的,但是在我刀郎的服务器中是正常运行的,恰恰正常代码不能在我服务器中跑。

<?echo "hello world";?>

那么我们怎么打造这样的刀郎安全php服务器啦?

第一步查找php关键标识符

这里我用Source Insight 4.0,搜索整个php源代码查找<?,排查后发现在Zend/zend_language_scanner.l这个文件中,

第二步 修改标识符

下面是我已经修改后的

保存。

第三步 生成C文件

我们需要重新生成zend_language_scanner.c

re2c --no-generation-date --case-inverted -cbdF -o zend_language_scanner.c  zend_language_scanner.l

第四步 编译源代码

4.1 安装需求库

 apt-get install gcc  make automake autoconf libtool bison flex libxml2-dev apache2-dev re2c

4.2 开始编译代码

./configure --with-apxs2=/usr/bin/apxsmake

4.3配置php环境

4.3.1 安装apache2

apt-get install apache2

service apache2 start4.3.2 修改配置文件

4.3.3 重启apache2

service apache2 start

4.4 感慨

现在国家在大力推广ipv6,未来面对的机遇和挑战更多,大家准备好了吗?哎实在编不下去了,最后一句话,大家想我吗?

*本文原创作者:刀郎,本文属FreeBuf原创奖励计划,未经许可禁止转载

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-07-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏企鹅号快讯

伊朗APT组织OilRig携新后门RGDoor锁定中东国家政府、金融、教育机构

“用指尖改变世界” ? Palo Alto Networks公司威胁情报团队Unit 42的研究人员在最近的调查中发现了一个Internet信息服务(IIS)W...

2466
来自专栏FreeBuf

更适合作为主系统使用的Parrot Security简介

Parrot 是一个基于Debian的专注于渗透测试和隐私保护的Linux发行版,但是更加方便日常使用,有贴心的使用体验,丰富的工具,更注重隐私保护。 The...

8045
来自专栏游戏杂谈

PhoneGap Build的使用

      纯粹属于闲折腾的结果,只是这中间还遇到一些问题,记录一下。因为没有IOS的开发key,所以这里只发布成功Android系统的安装程序。之前写过一篇构...

3183
来自专栏即时通讯技术

Android后台保活实践总结:即时通讯应用无法根治的“顽疾”

Android进程和Service的保活,是困扰Android开发人员的一大顽疾。因涉及到省电和内存管理策略,各厂商基于自家的理解,在自已ROOM发布时都会对标...

1753
来自专栏黑白安全

Chrome浏览器加固修复幽灵漏洞:内存占用将多出13%

数据显示,Chrome(Chromium内核)浏览器的全球用户量已经超过了10亿,牢牢占据No.1。

964
来自专栏FreeBuf

iPhone的Wi-Fi芯片漏洞利用POC公布,赶紧更新系统吧

本周,谷歌 Project Zero 项目的研究员 Gal Beniamini 公布了 iPhone Wi-Fi 固件的漏洞利用 POC。这个漏洞(CVE-20...

2408
来自专栏安恒信息

邮箱安全服务专题 | 发现那些对钓鱼邮件安全意识淡薄的员工

上一期我们介绍了针对邮箱应用层和协议层面的安全检测,目前针对邮箱系统自身风险的服务内容已经向大家介绍完了。然而保障了邮箱自身的系统安全还是远远不够的,每一篇邮件...

42010
来自专栏蜉蝣禅修之道

双系统重装win7后,修复grub

1362
来自专栏Seebug漏洞平台

摄像头漏洞挖掘入门教程(固件篇)

据 IT 研究与顾问咨询公司 Gartner 预测[1],2017 年全球物联网设备数量将达到 84 亿,比 2016 年的 64 亿增长31%,而全球人口数量...

3131
来自专栏角落的白板报

【52ABP实战教程】0.1-- Devops如何用VSTS持续集成到Github仓库!

“ 工欲善其事,必先利其器。磨刀不误砍柴工!” 管理工具会VSTS。 代码管理会用GITHUB。 服务器会用Azure。 所有的东西都是利用现有服...

3528

扫码关注云+社区

领取腾讯云代金券