以前总是通过timestamp来防止重放攻击，但是这样并不能保证每次请求都是一次性的。今天看到了一篇文章介绍的通过nonce（Number used once）来保证一次有效，感觉两者结合一下，就能达到一个非常好的效果了。

重放攻击是计算机世界黑客常用的攻击方式之一，所谓重放攻击就是攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。

首先要明确一个事情，重放攻击是二次请求，黑客通过抓包获取到了请求的HTTP报文，然后黑客自己编写了一个类似的HTTP请求，发送给服务器。也就是说服务器处理了两个请求，先处理了正常的HTTP请求，然后又处理了黑客发送的篡改过的HTTP请求。

基于timestamp的方案

每次HTTP请求，都需要加上timestamp参数，然后把timestamp和其他参数一起进行数字签名。因为一次正常的HTTP请求，从发出到达服务器一般都不会超过60s，所以服务器收到HTTP请求之后，首先判断时间戳参数与当前时间相比较，是否超过了60s，如果超过了则认为是非法的请求。

假如黑客通过抓包得到了我们的请求url： 
http://koastal.site/index/Info?uid=ZX07&stime=1480862753&sign=80b886d71449cb33355d017893720666 
其中

$sign=md5($uid.$token.$stime); // 服务器通过uid从数据库中可读出token
1
2

一般情况下，黑客从抓包重放请求耗时远远超过了60s，所以此时请求中的stime参数已经失效了。 
如果黑客修改stime参数为当前的时间戳，则sign参数对应的数字签名就会失效，因为黑客不知道token值，没有办法生成新的数字签名。

但这种方式的漏洞也是显而易见的，如果在60s之后进行重放攻击，那就没办法了，所以这种方式不能保证请求仅一次有效。

基于nonce的方案

nonce的意思是仅一次有效的随机字符串，要求每次请求时，该参数要保证不同，所以该参数一般与时间戳有关，我们这里为了方便起见，直接使用时间戳的16进制，实际使用时可以加上客户端的ip地址，mac地址等信息做个哈希之后，作为nonce参数。 
我们将每次请求的nonce参数存储到一个“集合”中，可以json格式存储到数据库或缓存中。 
每次处理HTTP请求时，首先判断该请求的nonce参数是否在该“集合”中，如果存在则认为是非法请求。

假如黑客通过抓包得到了我们的请求url： 
http://koastal.site/index/Info?uid=ZX07&nonce=58442c21&sign=80b886d71449cb33355d017893720666

其中

$sign=md5($uid.$token.$nonce); // 服务器通过uid从数据库中可读出token
1
2

nonce参数在首次请求时，已经被存储到了服务器上的“集合”中，再次发送请求会被识别并拒绝。 
nonce参数作为数字签名的一部分，是无法篡改的，因为黑客不清楚token，所以不能生成新的sign。

这种方式也有很大的问题，那就是存储nonce参数的“集合”会越来越大，验证nonce是否存在“集合”中的耗时会越来越长。我们不能让nonce“集合”无限大，所以需要定期清理该“集合”，但是一旦该“集合”被清理，我们就无法验证被清理了的nonce参数了。也就是说，假设该“集合”平均1天清理一次的话，我们抓取到的该url，虽然当时无法进行重放攻击，但是我们还是可以每隔一天进行一次重放攻击的。而且存储24小时内，所有请求的“nonce”参数，也是一笔不小的开销。

基于timestamp和nonce的方案

那我们如果同时使用timestamp和nonce参数呢？ 
nonce的一次性可以解决timestamp参数60s的问题，timestamp可以解决nonce参数“集合”越来越大的问题。

我们在timestamp方案的基础上，加上nonce参数，因为timstamp参数对于超过60s的请求，都认为非法请求，所以我们只需要存储60s的nonce参数的“集合”即可。

假如黑客通过抓包得到了我们的请求url： 
http://koastal.site/index/Info?uid=ZX07&stime=1480862753&nonce=58442c21&sign=80b886d71449cb33355d017893720666

其中

$sign=md5($uid.$token.$stime.$nonce); // 服务器通过uid从数据库中可读出token
1
2

如果在60s内，重放该HTTP请求，因为nonce参数已经在首次请求的时候被记录在服务器的nonce参数“集合”中，所以会被判断为非法请求。超过60s之后，stime参数就会失效，此时因为黑客不清楚token的值，所以无法重新生成签名。

综上，我们认为一次正常的HTTP请求发送不会超过60s，在60s之内的重放攻击可以由nonce参数保证，超过60s的重放攻击可以由stime参数保证。

因为nonce参数只会在60s之内起作用，所以只需要保存60s之内的nonce参数即可。

我们并不一定要每个60s去清理该nonce参数的集合，只需要在新的nonce到来时，判断nonce集合最后一次修改时间，超过60s的话，就清空该集合，存放新的nonce参数集合。其实nonce参数集合可以存放的时间更久一些，但是最少是60s。

验证流程

//判断stime参数是否有效 if( $now - $stime > 60){     die("请求超时"); } //判断nonce参数是否在“集合”已存在 if( in_array($nonce,$nonceArray) ){     die("请求仅一次有效"); } //验证数字签名     if ( $sign != md5($uid.$token.$stime.$nonce) ){     die("数字签名验证失败"); } //判断是否需要清理nonce集合 if( $now - $nonceArray->lastModifyTime > 60 ){     $nonceArray = null; } //记录本次请求的nonce参数 $nonceArray.push($nonce);   //开始处理合法的请求

php马当属PhpSpy了,查过几次,都是这个.今天又来一个.目前最新版是2008,更新日期为 2008.1.7

检查PHP木马
1 检查最新上传的文件 (ctime -4 最近四天)
2 检查文件属主
3 检查文件大小属性
...

--------

eval(base64_decode(''));

eval(gzinflate(base64_decode(

apa log

?dir|./..|.%2F../..|.%2F..%2F..|

安全组织9日发布2007年十大Web安全漏洞，而利用网页及cookies写作漏洞的跨站脚本攻击(XSS)登上首位。

　　开放Web软件安全计划(Open Web Application Security Project,OWASP)台湾分会今发表2007十大Web安全漏洞，年初曾发生在知名文件阅读器Adobe Acrobat Reader上的跨站脚本攻击(Cross Site Scripting,XSS)居首位。

　　而上周疑似使微软英国网站被骇的隐码攻击(Injection Flaw，包括SQL Injection及Command Injection)居次，第三位则是Web应用程序引入外部恶意程序的恶意文件执行攻击(Malicious File Execution)。

　　OWASP台湾分会主席黄耀文在新闻稿中表示，该安全漏洞报告乃经由OWASP的资深安全专家，依Web安全弱点的严重性、与是否易于被黑客采用等依据所选出，作为网站开发人员开发时的安全参考。

　　在Web 2.0流行风潮下，新的网页应用程序开发与相关技术(如AJAX)的应用，成为网站欲出奇致胜的重点，但在网站经营者争相提供创新网页服务的情况下，网页应用程序的安全性也成为新的问题。

　　趋势科技台湾技术顾问简胜财便指出，包括跨站脚本攻击与数据隐码攻击等上榜漏洞，多半都是因网页应用程序写作不当，才产生让黑客得以入侵的漏洞。

　　他认为，网页应用程序开发人员多半缺乏安全相关训练，导致开发出的程序可能存在漏洞，导致黑客得以入侵网页，进而窜改网页、植入恶意程序，或偷取数据，他认为，企业网页开发人员进行网页程序开发时，应更严谨，避免类似事件再次发生。

　　他并以6月底发生在意大利等欧洲国家，万余网站遭入侵的事件为例解释，黑客已可利用特殊工具包(toolkit)，主动搜索网站漏洞，进而入侵、窜改网页内容，甚至造成大规模网灾，提醒网页应用漏洞的普遍性，以及一旦遭黑客利用所可能造成的严重后果。

　　厂商则建议企业采用网页应用防护设备设备来检测网站漏洞。

　　例如阿码科技(Armorize Technologies)即推出网页应用程序原始码检测器CodeSecure Verifier，以自动静态分析(Automated Static Analysis)技术，提供网页应用程序开发人员从开发过程到上线后的开发生命周期的原始程序代码分析。

　　至于NetContinuum、F5与Check Point等厂商，则是推出网页应用防火墙(Web Application Firewall)，或将其功能整并入如UTM等网络安全硬件中，以阻隔针对网页应用而来的攻击的方式，达到保护网页应用安全性的目标。

　　OWASP 2007十大Web安全漏洞第四至第十名分别为：应用程序可任意访问文件的Insecure Direct Object Reference、让合法使用者执行恶意程序指令却可能被允许的Cross-Site Request Forgery(CSRF)、错误信息泄露机密数据的Information Leakage and Improper Error Handling、身份验证功能缺陷的Broken Authentication and Session Management、敏感数据加密不安全或无加密的Insecure Cryptographic Storage、传输数据未加密Insecure Communication，以及因无权限控制导致可直接存取数据的Failure to Restrict URL Access。(马培治)