gpt4 book ai didi

php - 如何检测/防止第三方代码拨号回家?

转载 作者:搜寻专家 更新时间:2023-10-31 21:32:45 24 4
gpt4 key购买 nike

上下文:

第三方代码对于任何开源 CMS 都是通用的,例如 WordPress 插件和主题。我最近在网上看到有关插件/主题向作者发送信息的文章。

我的担忧:

  1. 我不知道何时插件/主题正在向作者发送信息。
  2. 我无法分辨插件/主题向作者发送的什么信息(电子邮件、URL、站点访问跟踪、仅限于完全数据库访问等)。

无论作者是否恶意使用此信息,在这件事上缺乏可见性都让我感到沮丧。我只是想知道原则。

我尝试过的:

  1. 我已经禁用了各种功能,例如 CURL 和 fopen,但据我所知,可能存在回退功能来实现相同的功能。
  2. 我已通过多种方式保护我的网站,包括修改目录/文件权限、恶意软件扫描、黑名单、安全审计、防火墙等。
  3. 我密切关注 FireFox 的脚本拦截器以检测第三方。
  4. 我对插件/主题进行各种代码扫描以查找已知的恶意代码并定期更新定义。
  5. 我查看了适用于 FireFox 的 Ghostery,但是这要求插件/主题处于事件状态,如果插件/主题是恶意的,这可能已经太晚了。

我的问题:

我如何知道哪些插件/主题正在调用主页/发送信息,以及发送的信息到底是什么?

  • 是否存在检测此问题的插件或在线解决方案?
  • 禁用某些 PHP 功能就这么简单吗?
  • 如果我需要手动查找代码(请记住恶意代码已经被扫描),我应该注意哪些功能?

最佳答案

如果这是一个 .NET 应用程序,您可以将 Fiddler 安装为系统级代理,信任其根证书并查看源自该机器的所有流量。

参见 Eric Laurence 对 this question 的回答关于如何配置它。

我不确定这是否也适用于 PHP 应用程序。我什至不确定你是不是在 Windows 机器上。

关于php - 如何检测/防止第三方代码拨号回家?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27273947/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com