近日，Imperva 公司发布了九月黑客谍报步履陈述――《PHP SuperGlobals：超等坚苦》(PHPSuperGlobals: Supersized Trouble)，对近期针对PHP利用倡议的报复打击进行了深进阐发，包含触及PHP “SuperGlobal”参数的报复打击，并进一步阐发了报复打击勾当的一般特点和万维网整体完全性的意义。

　　Imperva公司首席手艺官Amichai Shulman暗示：“遭到报复打击的主机可被用作僵尸奴隶来报复打击其他办事器，是以针对PHP利用倡议的报复打击可能会影响到全部收集的安然与健康。这些报复打击将产生很是严重的后果，因为PHP平台是最常常利用的收集利用开辟平台，为80%以上的网站供给撑持，此中包含Facebook和维基百科。很明显，此刻安然社区必需更多地存眷这个标题问题。”

　　该陈述还发现，黑客将高级报复打击手艺畅通领悟于简单脚本的能力日趋增加。同时，陈述觉得，PHP SuperGlobals可以或许为报复打击带来高投资回报，是以成为黑客报复打击的首要方针。

　　PHP SuperGlobal参数在黑客社区日趋遭到欢迎，因为它们可以将多个安然标题问题整合于统一个高级收集威胁，从而粉碎利用逻辑、侵害办事器，造成讹诈生意和数据盗窃。Imperva研究团队寄望到，在一个月的时候里，每项利用平均蒙受144次包含SuperGlobal参数报复打击路径的报复打击。别的，研究者还发现报复打击勾当可延续五个月以上，在要求岑岭期，每项利用每分钟将蒙受多达90次报复打击。

　　该陈述的要点与建议包含：

　　· 如密钥透露于第三方根本举措措施，则需要采取“撤退”型安然模式：该陈述发现，获得遍及利用的PhpMyAdmin(PMA)东西存在亏弱环节，该东西用于在PHP环境下治理MySQL数据库。因为该东西常常与利用 MySQL数据库的其他利用绑定在一路，是以它的亏弱环节会使办事器遭到影响，即便治理员并未利用该东西，办事器也会遭到代码履行报复打击，导致全部办事器被领受。为解决这个标题问题，建议采取 “撤退”型安然模式。

　　· 最好采取积极安然模式：积极安然机制为各个资本划定了可利用的参数名称，只有这类模式才能避免报复打击者操纵外部变量把持亏弱环节，这类报复打击使所有人都能利用不异的内部变量名称发送外部参数，从而笼盖本来的内部变量值。

　　· 黑客的手艺日渐高超：Imperva研究者发现，报复打击者可以或许倡议复杂报复打击，并将其整合为简单易用的东西。不外，在表示出强大年夜报复打击能力的同时，PHP报复打击法也存在缺点。一种可以或许探测并消弭某个报复打击阶段的利用安然解决方案能使全部报复打击无功而返。

　　· 应樊篱要求中的SuperGlobal参数：这些参数没有任何来由呈此刻要求当中;是以应被避免。