Este artículo es un artículo espejo de traducción automática, por favor haga clic aquí para saltar al artículo original.

Architect_Programmer_Code Red Agrícola»Arquitecto Programación PHP Análisis integral de funciones peligrosas en PHP
Vista: 9719|Respuesta: 1

Análisis integral de funciones peligrosas en PHP

[Copiar enlace]
Publicado en 14/12/2015 22:34:33 | | |
Al compilar PHP, si no hay necesidad especial, es necesario prohibir la compilación de soporte de análisis PHP que genere patrones de línea de comandos de CLI. Puedes usar –disable-CLI en tiempo de compilación. Una vez compilado PHP para generar patrones de CLI, puede ser explotado por un intruso para configurar un proceso backdoor de WEB Shell o ejecutar código arbitrario vía PHP.
phpinfo()
Descripción de la función: Generar información del entorno PHP y módulos relacionados, entorno WEB y otra información.
Nivel de peligro: Medio
passthru()
Descripción de la función: Permite ejecutar un programa externo y emite eco de salida, similar a exec().
Nivel de peligro: alto
exec()
Descripción de la función: Permite la ejecución de un programa externo (como comandos UNIX Shell o CMD, etc.).
Nivel de peligro: alto
system()
Descripción de la función: Permite ejecutar un programa externo y emitir una salida con eco, similar a passthru().
Nivel de peligro: alto
chroot()
Descripción de la función: Puede cambiar el directorio raíz de trabajo del proceso PHP actual, y solo puede funcionar si el sistema soporta PHP en modo CLI, y esta función no es aplicable a sistemas Windows.
Nivel de peligro: alto
Scandir()
Descripción de la función: Lista archivos y directorios en una ruta especificada.
Nivel de peligro: Medio
chgrp()
Descripción de la función: Cambiar el grupo de usuarios al que pertenece un archivo o directorio.
Nivel de peligro: alto
chown()
Descripción de la función: Cambiar el propietario de un archivo o directorio.
Nivel de peligro: alto
shell_exec()
Descripción de la función: Ejecutar comandos a través del shell y devolver el resultado de ejecución como cadena.
Nivel de peligro: alto
proc_open()
Descripción de la función: Ejecuta un comando y abre el puntero del archivo para leerlo y escribir.
Nivel de peligro: alto
proc_get_status()
Descripción de la función: Obtén información sobre el proceso abierto usando proc_open().
Nivel de peligro: alto
error_log()
Descripción de la función: Enviar mensajes de error a ubicaciones específicas (archivos).
Nota de seguridad: En algunas versiones de PHP, puedes usar error_log() para saltarte el modo seguro de PHP,
Ejecuta órdenes arbitrarias.
Nivel de peligro: bajo
ini_alter()
Descripción de la función: Es una función alias de la función ini_set(), que tiene la misma función que ini_set(). Consulta ini_set() para más detalles.
Nivel de peligro: alto
ini_set()
Descripción de la función: Puede utilizarse para modificar y establecer parámetros de configuración del entorno PHP.
Nivel de peligro: alto
ini_restore()
Descripción de la función: Puede usarse para restaurar los parámetros de configuración del entorno PHP a sus valores iniciales.
Nivel de peligro: alto
dl()
Descripción de la función: Carga un módulo externo de PHP durante la ejecución de PHP, no al inicio.
Nivel de peligro: alto
pfsockopen()
Descripción de la función: Establecer una conexión persistente de socket a un dominio de Internet o UNIX.
Nivel de peligro: alto
syslog()
Descripción de la función: Llama a la función syslog() a nivel de sistema del sistema UNIX.
Nivel de peligro: Medio
readlink()
Descripción de la función: Devuelve el contenido del archivo destino al que apunta la conexión del símbolo.
Nivel de peligro: Medio
symlink()
Descripción de la función: Crear un enlace simbólico en un sistema UNIX.
Nivel de peligro: alto
popen()
Descripción de la función: Puedes pasar un comando por los parámetros de popen() y ejecutar el archivo abierto por popen().
Nivel de peligro: alto
stream_socket_server()
Descripción de la función: Establecer una conexión a Internet o servidor UNIX.
Nivel de peligro: Medio
putenv()
Descripción de la función: Se usa para cambiar el entorno del conjunto de caracteres del sistema mientras PHP está en ejecución. En versiones de PHP anteriores a la versión 5.2.6, esta función puede usarse para modificar el entorno del conjunto de caracteres del sistema y luego usar el comando sendmail para enviar parámetros especiales que ejecuten el comando SHELL del sistema.
Nivel de peligro: alto





Anterior:Multihilo Multihilo El papel importante de IsBackground para los hilos
Próximo:Funciones comparativas muy útiles de biblioteca, un poco vagas al aprender, averigua y compártelas con todos

Publicaciones relacionadas
Publicado en 24/9/2019 13:30:17 |
Gracias, casero.
Renuncia:
Todo el software, materiales de programación o artículos publicados por Code Farmer Network son únicamente para fines de aprendizaje e investigación; El contenido anterior no se utilizará con fines comerciales o ilegales; de lo contrario, los usuarios asumirán todas las consecuencias. La información de este sitio proviene de Internet, y las disputas de derechos de autor no tienen nada que ver con este sitio. Debes eliminar completamente el contenido anterior de tu ordenador en un plazo de 24 horas desde la descarga. Si te gusta el programa, por favor apoya el software genuino, compra el registro y obtén mejores servicios genuinos. Si hay alguna infracción, por favor contáctanos por correo electrónico.
Mail To:help@itsvse.com