AMFPHP基本安全问题
http://hi.baidu.com/needyu/blog/item/8bb68c18b765c3b34aedbcb2.html
原文:http://theflashblog.com/?p=419
1. 删除Service Browser
因为对你有用的服务和方法对其他任何来说也一样能用,很明显,为此你需
要在你的产品机上删除它。最简单的就是删除位于AMFPHP根目录的Browser
文件夹
2.删除DiscoveryService 服务
DiscoveryService 服务再你安装AMFPHP的时候就被包含进来,这个服务会暴
露所有有效的服务和方法的详细信息,为了安全期间,整个删除AMFPHP/services文件夹
下的amfphp目录或者只删除DiscoveryService.php文件
3.设置PRODUCTION_SERVER属性
PRODUCTION_SERVER属性位于根目录AMFPHP下的gateway.php中,默认值是
false,在产品机上应该设置为true,这样它会禁止一些类似远程开发调试的
头信息的东西。
4.如果可能的通过SSL来运行服务
通过SSL,flash和php之间的数据交换将是加密传输的,让sniff很难发现真
实的数据。
5.使用beforeFilter进行认证
在AMFPHP 1.9版本增加了一个新特色,让你能够认证调用者是否有访问服务
的权限。在你的服务类里添加一个叫做“beforFilter”的方法:
public function beforeFilter($function_called)
这个函数在客户端调用服务端方法的时候呗调用,如果返回true,方法将被
执行,返回false,则抛出一个错误,在这个方法里你可以做一些认证逻辑。
这方面Joshua Ostrom写了一篇很不错的博客:
http://www.joshuaostrom.com/2008/06/03/securing-amfphp-19-via-authentication/
6.PHP的基本安全
AMFPHP毕竟是使用PHP的,务必了解一些基本的PHP安全方面的知识,比如如
何放置SQL注入等。关于这方面,推荐阅读“Essential PHP Security ”
AMFPHP基本安全问题相关推荐
- 关于 智能指针 的线程安全问题
先说结论,智能指针都是非线程安全的. 多线程调度智能指针 这里案例使用的是shared_ptr,其他的unique_ptr或者weak_ptr的结果都是类似的,如下多线程调度代码: #include ...
- 不同版本浏览器前端标准兼容性对照表以及CORS解决跨域和CSRF安全问题解决方案
CORS也已经成为主流的跨域解决方案,不过CORF也会引发CSRF,本文先分享第三方的一个前端工具箱全面展示那些浏览器版本支持CORS,由于各家浏览器厂商因为各自原因在不同的版本里支持的标准不同,这个 ...
- hash是线程安全的吗?怎么解决?_这次进程、线程、多线程和线程安全问题,一次性帮你全解决了...
1. 什么是进程 一个软件,在操作系统中运行时,我们称其为进程. 进程是操作系统分配资源的最小单元,线程是操作系统调度的最小单元. 2. 什么是线程 在一个进程中,每个独立的功能都需要独立的去运行,这 ...
- iOS多线程全套:线程生命周期,多线程的四种解决方案,线程安全问题,GCD的使用,NSOperation的使用(上)
2017-07-08 remember17 Cocoa开发者社区 目的 本文主要是分享iOS多线程的相关内容,为了更系统的讲解,将分为以下7个方面来展开描述. 多线程的基本概念 线程的状态与生命周期 ...
- struts2学习笔记--线程安全问题小结
在说struts2的线程安全之前,先说一下,什么是线程安全?这是一个网友讲的, 如果你的代码所在的进程中有多个线程在同时运行,而这些线程可能会同时运行这段代码.如果每次运行结果和单线程运行的结果是一样 ...
- 客户花钱雇黑客,竟是为Zoom找bug:风口浪尖的视频会议No.1,安全问题如此魔幻...
白交 鱼羊 发自 凹非寺 量子位 报道 | 公众号 QbitAI 客户花钱找黑客,帮你产品找Bug-- 这样的客户哪里找?这样的产品又究竟有怎样的福报? Zoom,疫情之下最火爆的视频会议公司,又上演 ...
- 隐藏在程序旮旯中的“安全问题”
作为一个真正的程序员,必须有高度的"安全意识",因为我们作出的软件运行在复杂的环境中,不能把不该有异常抛给用户,更不能把漏洞留给"黑客",当然也不能把" ...
- 常见的IaaS安全问题与缓解方法
云计算为各个行业的发展做出巨大的贡献,但在其使用的过程中,却存在一定的安全问题.最常见的就是云计算中IaaS的安全问题,它是一种云计算驱动的概念,根据公共云或私有云实现IaaS的不同,安全问题也有所不 ...
- Palo Alto 亚太区首席安全官:未来中国五大安全问题突出...
做企业首席安全官(CSO/CISO)是什么样的体验? 不少人对这个职位感到好奇:"为什么国内很少听到CSO.CSIO"."他们需要搞黑客技术吗"."如 ...
最新文章
- 深度学习目标检测法进化史,看这一篇就够了
- asp.net core中IHttpContextAccessor和HttpContextAccessor的妙用
- liunx 在虚拟机(VMware)下挂载光驱命令
- python中cgi到底是什么_十分钟搞懂什么是CGI(转)
- Windows Server 2008远程桌面端口更改方法
- 自己动手制作(DIY)一个Mini-Linux系统
- Numpy中的堆叠(stack)操作
- 【题解】luogu p1032 字串变换
- ORACLE 格式VARCHAR2(n CHAR) 与VARCHAR2(n)的区别
- WASM 成为 HTML、CSS 与 JS 之后的第 4 门 Web 语言
- 优先级队列之PriorityQueue
- 重金求购一份回合制手游源码
- 无人驾驶路径规划之RRT算法
- 客户画像、精准营销与数字化运营
- 奋斗的小孩系列 FPGA学习altera系列: 第一篇 软件的安装与破解
- 用 husky 和 lint-staged 构建代码检查工作流
- 变邻域搜索算法解决0-1背包问题
- 钟祥义工与残疾人互动频繁
- 十大高颜值蓝牙耳机排行榜,最受欢迎的真无线蓝牙耳机前十名
- 基于am5718的【ARM-Linux开发】wayland和weston的介绍