Fast alle CGI-Programme haben solche Fehler, aber die spezifischen Erscheinungsformen sind unterschiedlich. 1. Gefährliche Funktionen beteiligt [include(), require() und include_once(), require_once()] include() && require()-Anweisung: Die angegebene Datei einschließen und ausführen. Die beiden Strukturen sind bis auf die Art und Weise, wie sie mit Fehlern umgehen, identisch. include() erzeugt eine Warnung und require() führt zu einem schwerwiegenden Fehler. Mit anderen Worten: Verwenden Sie require(), wenn Sie die Verarbeitung der Seite stoppen möchten, wenn eine fehlende Datei gefunden wird. Dies ist bei include() nicht der Fall und das Skript wird weiterhin ausgeführt. Wenn „allow_url_fopen“ in PHP aktiviert ist (Standardkonfiguration), ist es auch möglich, einzubindende Dateien über URLs (über HTTP oder andere unterstützte Kapselungsprotokolle) anstelle lokaler Dateien anzugeben. Wenn der Zielserver die Zieldatei als PHP-Code interpretiert, können Sie
Einführung: Wenn der Server die PHP-Funktion (Funktion) verwendet, um eine Datei einzubinden, wird die Quelle der einzubindenden Datei nicht streng gefiltert Es kann eine schädliche Datei enthalten sein, und wir können diese schädliche Datei erstellen, um böse Zwecke zu erreichen.
2. PHP Remote enthält Datei-Schwachstellenanalyse Seite 1/6_PHP-Tutorial
3 PHP Remote Include File Vulnerability Analysis Nr. 1 / 6 Seiten
4. Häufige Sicherheitslücken von PHP-Websites und deren Reaktionsverhinderung Zusammenfassung der Maßnahmen
Einführung: Zusammenfassung häufiger Sicherheitslücken in PHP-Websites und entsprechende Präventionsmaßnahmen. Derzeit ist die Website-Entwicklung auf Basis von PHP zum Mainstream der aktuellen Website-Entwicklung geworden Der Autor dieses Artikels konzentriert sich auf PHP-Websites. Dieser Artikel befasst sich mit Angriffen und Sicherheitsvorbeugung und zielt darauf ab, die Schwachstellen von Websites zu verringern. 1. In Bezug auf PHP-Website-Sicherheitslücken gibt es derzeit fünf häufige Schwachstellen. Dabei handelt es sich um Sicherheitslücken in Sitzungsdateien, durch SQL-Injection, durch Schwachstellen bei der Ausführung von Skriptbefehlen, durch globale Variablen und durch Dateischwachstellen. Hier sind diese Schwachstellen
5 Das Problem besteht darin, dass Hackerangriffe auf Websites meist damit beginnen, nach Schwachstellen bei der Gegenpartei zu suchen. Daher können Website-Manager nur dann entsprechende Gegenmaßnahmen ergreifen, um externe Angriffe zu verhindern, wenn sie ihre eigenen Schwachstellen verstehen. Im Folgenden werden einige häufige Schwachstellen von Servern (einschließlich Webservern und JSP-Servern) vorgestellt. Wie kann Apache die Sicherheitslücke bezüglich beliebiger Dateien durchsickern lassen und neu schreiben? >Einführung: Beteiligte Programme: JRUN Beschreibung: Allaire JRUN 2.3 Sicherheitslücke bezüglich beliebiger Dateien anzeigen Details: Auf dem JRUN-Server 2.3 von Allaire bestehen mehrere Sicherheitslücken im Anzeigecode. Diese Sicherheitslücke ermöglicht es einem Angreifer, den Quellcode einer beliebigen Datei im Stammverzeichnis des WEB-Servers anzuzeigen. JRun 2.3 verwendet Java-Servlets, um verschiedene Arten von Seiten zu analysieren (z. B. HTML, JSP usw.) >Einführung: Beteiligtes Programm: mod_rewrite Beschreibung: Apache-Lecks überschriebene Sicherheitslücke bei beliebigen Dateien Details: In Apache 1.2 und späteren Versionen gibt es ein mod_rewrite-Modul, das zur Angabe spezieller URLs verwendet wird. Ein absoluter Pfad wird zugeordnet Wenn eine Rewrite-Regel mit korrekt ausgedrückten Parametern übergeben wird, kann ein Angreifer jede umgeschriebene beliebige Datei einsehen Schwachstelle_MySQL
Einführung: Beteiligtes Programm: mod_rewrite Beschreibung: Apache-Lecks überschriebene Sicherheitslücke bei beliebigen Dateien Details: In Apache 1.2 und späteren Versionen gibt es ein mod_rewrite-Modul, das verwendet wird, um spezielle URLs im Dateisystem des Netzwerkservers anzugeben. Der absolute Pfad kartiert werden. Wenn eine Rewrite-Regel mit korrekt ausgedrückten Parametern übergeben wird, kann der Angreifer alle 9 auf dem Zielhost php Remote Include File Vulnerability Analysis_php Tips anzeigen
Einführung: Lassen Sie uns zunächst die Sicherheitslücke bei Include-Dateien besprechen. Die erste Frage ist, was eine „Remote“-Datei enthält eine Schwachstelle“? Die Antwort lautet: Wenn der Server die PHP-Funktion (Funktion) verwendet, um eine beliebige Datei einzubinden, kann die Quelle der einzubindenden Datei, da die Quelle der einzubindenden Datei nicht streng gefiltert ist, eine bösartige Datei enthalten, und wir können diese bösartige Datei erstellen, um Böses zu erreichen Zwecke.
Das obige ist der detaillierte Inhalt von9 empfohlene Artikel über Dateischwachstellen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!