上下文:
第三方代码对于任何开源 CMS 都是通用的,例如 WordPress 插件和主题。我最近在网上看到有关插件/主题向作者发送信息的文章。
我的担忧:
- 我不知道何时插件/主题正在向作者发送信息。
- 我无法分辨插件/主题向作者发送的什么信息(电子邮件、URL、站点访问跟踪、仅限于完全数据库访问等)。
无论作者是否恶意使用此信息,在这件事上缺乏可见性都让我感到沮丧。我只是想知道原则。
我尝试过的:
- 我已经禁用了各种功能,例如 CURL 和 fopen,但据我所知,可能存在回退功能来实现相同的功能。
- 我已通过多种方式保护我的网站,包括修改目录/文件权限、恶意软件扫描、黑名单、安全审计、防火墙等。
- 我密切关注 FireFox 的脚本拦截器以检测第三方。
- 我对插件/主题进行各种代码扫描以查找已知的恶意代码并定期更新定义。
- 我查看了适用于 FireFox 的 Ghostery,但是这要求插件/主题处于事件状态,如果插件/主题是恶意的,这可能已经太晚了。
我的问题:
我如何知道哪些插件/主题正在调用主页/发送信息,以及发送的信息到底是什么?
- 是否存在检测此问题的插件或在线解决方案?
- 禁用某些 PHP 功能就这么简单吗?
- 如果我需要手动查找代码(请记住恶意代码已经被扫描),我应该注意哪些功能?
最佳答案
如果这是一个 .NET 应用程序,您可以将 Fiddler 安装为系统级代理,信任其根证书并查看源自该机器的所有流量。
参见 Eric Laurence 对 this question 的回答关于如何配置它。
我不确定这是否也适用于 PHP 应用程序。我什至不确定你是不是在 Windows 机器上。
关于php - 如何检测/防止第三方代码拨号回家?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27273947/