Este artículo es un artículo espejo de traducción automática, por favor haga clic aquí para saltar al artículo original.

Architect_Programmer_Code Red Agrícola»Arquitecto Programación PHP Análisis integral de funciones peligrosas en PHP
Vista: 8724|Respuesta: 0

Análisis integral de funciones peligrosas en PHP

[Copiar enlace]
Publicado en 24/10/2014 14:32:39 | | |

Al compilar PHP, si no hay necesidad especial, es necesario prohibir la compilación de soporte de análisis PHP que genere patrones de línea de comandos de CLI. Puedes usar –disable-CLI en tiempo de compilación. Una vez compilado PHP para generar patrones de CLI, puede ser explotado por un intruso para configurar un proceso backdoor de WEB Shell o ejecutar código arbitrario vía PHP.

phpinfo()

Descripción de la función: Generar información del entorno PHP y módulos relacionados, entorno WEB y otra información.

Nivel de peligro: Medio

passthru()

Descripción de la función: Permite ejecutar un programa externo y emite eco de salida, similar a exec().

Nivel de peligro: alto

exec()

Descripción de la función: Permite la ejecución de un programa externo (como comandos UNIX Shell o CMD, etc.).

Nivel de peligro: alto

system()

Descripción de la función: Permite ejecutar un programa externo y emitir una salida con eco, similar a passthru().

Nivel de peligro: alto

chroot()

Descripción de la función: Puede cambiar el directorio raíz de trabajo del proceso PHP actual, y solo puede funcionar si el sistema soporta PHP en modo CLI, y esta función no es aplicable a sistemas Windows.

Nivel de peligro: alto

Scandir()

Descripción de la función: Lista archivos y directorios en una ruta especificada.

Nivel de peligro: Medio

chgrp()

Descripción de la función: Cambiar el grupo de usuarios al que pertenece un archivo o directorio.

Nivel de peligro: alto

chown()

Descripción de la función: Cambiar el propietario de un archivo o directorio.

Nivel de peligro: alto

shell_exec()

Descripción de la función: Ejecutar comandos a través del shell y devolver el resultado de ejecución como cadena.

Nivel de peligro: alto

proc_open()

Descripción de la función: Ejecuta un comando y abre el puntero del archivo para leerlo y escribir.

Nivel de peligro: alto

proc_get_status()

Descripción de la función: Obtén información sobre el proceso abierto usando proc_open().

Nivel de peligro: alto

error_log()

Descripción de la función: Enviar mensajes de error a ubicaciones específicas (archivos).

Nota de seguridad: En algunas versiones de PHP, puedes usar error_log() para saltarte el modo seguro de PHP,
Ejecuta órdenes arbitrarias.

Nivel de peligro: bajo

ini_alter()

Descripción de la función: Es una función alias de la función ini_set(), que tiene la misma función que ini_set(). Consulta ini_set() para más detalles.

Nivel de peligro: alto

ini_set()

Descripción de la función: Puede utilizarse para modificar y establecer parámetros de configuración del entorno PHP.

Nivel de peligro: alto

ini_restore()

Descripción de la función: Puede usarse para restaurar los parámetros de configuración del entorno PHP a sus valores iniciales.

Nivel de peligro: alto

dl()

Descripción de la función: Carga un módulo externo de PHP durante la ejecución de PHP, no al inicio.

Nivel de peligro: alto

pfsockopen()

Descripción de la función: Establecer una conexión persistente de socket a un dominio de Internet o UNIX.

Nivel de peligro: alto

syslog()

Descripción de la función: Llama a la función syslog() a nivel de sistema del sistema UNIX.

Nivel de peligro: Medio

readlink()

Descripción de la función: Devuelve el contenido del archivo destino al que apunta la conexión del símbolo.

Nivel de peligro: Medio

symlink()

Descripción de la función: Crear un enlace simbólico en un sistema UNIX.

Nivel de peligro: alto

popen()

Descripción de la función: Puedes pasar un comando por los parámetros de popen() y ejecutar el archivo abierto por popen().

Nivel de peligro: alto

stream_socket_server()

Descripción de la función: Establecer una conexión a Internet o servidor UNIX.

Nivel de peligro: Medio

putenv()

Descripción de la función: Se usa para cambiar el entorno del conjunto de caracteres del sistema mientras PHP está en ejecución. En versiones de PHP anteriores a la versión 5.2.6, esta función puede usarse para modificar el entorno del conjunto de caracteres del sistema y luego usar el comando sendmail para enviar parámetros especiales que ejecuten el comando SHELL del sistema.

Nivel de peligro: alto






Anterior:La última herramienta de descarga gratuita de puntos CSDN disponible disponible y sin necesidad de cuenta
Próximo:¿Es mejor usar 360 para vigilantes de seguridad informática o mayordomos de QQ?

Publicaciones relacionadas
Renuncia:
Todo el software, materiales de programación o artículos publicados por Code Farmer Network son únicamente para fines de aprendizaje e investigación; El contenido anterior no se utilizará con fines comerciales o ilegales; de lo contrario, los usuarios asumirán todas las consecuencias. La información de este sitio proviene de Internet, y las disputas de derechos de autor no tienen nada que ver con este sitio. Debes eliminar completamente el contenido anterior de tu ordenador en un plazo de 24 horas desde la descarga. Si te gusta el programa, por favor apoya el software genuino, compra el registro y obtén mejores servicios genuinos. Si hay alguna infracción, por favor contáctanos por correo electrónico.
Mail To:help@itsvse.com