Cet article est un article miroir de traduction automatique, veuillez cliquer ici pour accéder à l’article original.

Architect_Programmer_Code Réseau agricole»Architecte Programmation PHP Analyse complète des fonctions dangereuses en PHP
Vue: 8724|Répondre: 0

Analyse complète des fonctions dangereuses en PHP

[Copié le lien]
Publié sur 24/10/2014 14:32:39 | | |

Lors de la compilation de PHP, s’il n’y a pas de besoin particulier, il est nécessaire d’interdire la compilation du support de l’analyse PHP qui génère des schémas en ligne de commande CLI. Vous pouvez utiliser –disable-CLI au moment de la compilation. Une fois que PHP est compilé pour générer des patterns CLI, il peut être exploité par un intrus pour mettre en place un processus backdoor WEB Shell ou exécuter un code arbitraire via PHP.

phpinfo()

Description de la fonction : Produire des informations sur l’environnement PHP et les modules associés, l’environnement WEB et d’autres informations.

Niveau de danger : Moyen

passthru()

Description de la fonction : Permet d’exécuter un programme externe et fait écho à la sortie, similaire à exec().

Niveau de danger : élevé

exec()

Description de la fonction : Permet l’exécution d’un programme externe (comme les commandes UNIX Shell ou CMD, etc.).

Niveau de danger : élevé

system()

Description de la fonction : Permet d’exécuter un programme externe et d’éjecter une sortie, similaire à passthru().

Niveau de danger : élevé

chroot()

Description de la fonction : Il peut modifier le répertoire racine de travail du processus PHP actuel, et il ne peut fonctionner que si le système prend en charge PHP en mode CLI, et cette fonction n’est pas applicable aux systèmes Windows.

Niveau de danger : élevé

scandir()

Description de la fonction : Liste les fichiers et répertoires dans un chemin spécifié.

Niveau de danger : Moyen

chgrp()

Description de la fonction : Modifier le groupe d’utilisateurs auquel appartient un fichier ou un répertoire.

Niveau de danger : élevé

chown()

Description de la fonction : Changer le propriétaire d’un fichier ou d’un répertoire.

Niveau de danger : élevé

shell_exec()

Description de la fonction : exécuter les commandes via le shell et renvoyer le résultat d’exécution sous forme de chaîne.

Niveau de danger : élevé

proc_open()

Description de la fonction : Exécuter une commande et ouvrir le pointeur du fichier pour la lecture et l’écriture.

Niveau de danger : élevé

proc_get_status()

Description de la fonction : Obtenez des informations sur le processus ouvert en utilisant proc_open().

Niveau de danger : élevé

error_log()

Description de la fonction : Envoyer des messages d’erreur à des emplacements spécifiés (fichiers).

Note de sécurité : Dans certaines versions de PHP, vous pouvez utiliser error_log() pour contourner le mode sans échec PHP,
Exécutez des commandes arbitraires.

Niveau de danger : faible

ini_alter()

Description de la fonction : C’est une fonction alias de la fonction ini_set(), qui a la même fonction que ini_set(). Voir ini_set() pour plus de détails.

Niveau de danger : élevé

ini_set()

Description de la fonction : Elle peut être utilisée pour modifier et définir les paramètres de configuration de l’environnement PHP.

Niveau de danger : élevé

ini_restore()

Description de la fonction : peut être utilisé pour restaurer les paramètres de configuration de l’environnement PHP à leurs valeurs initiales.

Niveau de danger : élevé

dl()

Description de la fonction : Charger un module externe PHP pendant l’exécution de PHP, pas au démarrage.

Niveau de danger : élevé

pfsockopen()

Description de la fonction : Établir une connexion persistante socket vers un domaine Internet ou UNIX.

Niveau de danger : élevé

syslog()

Description de la fonction : Appelle la fonction syslog() au niveau système du système UNIX.

Niveau de danger : Moyen

readlink()

Description de la fonction : Retourne le contenu du fichier cible vers lequel pointe la connexion du symbole.

Niveau de danger : Moyen

symlink()

Description de la fonction : Créer un lien symbolique dans un système UNIX.

Niveau de danger : élevé

Popeen()

Description de la fonction : Vous pouvez passer une commande dans les paramètres de popen() et exécuter le fichier ouvert par popen().

Niveau de danger : élevé

stream_socket_server()

Description de la fonction : Établir une connexion serveur Internet ou UNIX.

Niveau de danger : Moyen

putenv()

Description de la fonction : Utilisée pour modifier l’environnement du jeu de caractères système pendant que PHP fonctionne. Dans les versions PHP antérieures à la version 5.2.6, cette fonction peut être utilisée pour modifier l’environnement du jeu de caractères système, puis utiliser la commande sendmail pour envoyer des paramètres spéciaux afin d’exécuter la commande SHELL système.

Niveau de danger : élevé






Précédent:Le dernier outil de téléchargement sans compte requis pour les points CSDN le plus récent disponible
Prochain:Est-il préférable d’utiliser 360 pour les agents de sécurité informatique, ou les majordomes de QQ ?

Articles connexes
Démenti:
Tous les logiciels, supports de programmation ou articles publiés par Code Farmer Network sont uniquement destinés à l’apprentissage et à la recherche ; Le contenu ci-dessus ne doit pas être utilisé à des fins commerciales ou illégales, sinon les utilisateurs assumeront toutes les conséquences. Les informations sur ce site proviennent d’Internet, et les litiges de droits d’auteur n’ont rien à voir avec ce site. Vous devez supprimer complètement le contenu ci-dessus de votre ordinateur dans les 24 heures suivant le téléchargement. Si vous aimez le programme, merci de soutenir un logiciel authentique, d’acheter l’immatriculation et d’obtenir de meilleurs services authentiques. En cas d’infraction, veuillez nous contacter par e-mail.
Mail To:help@itsvse.com