|
|
Diposting pada 14/12/2015 22.34.33
|
|
|
Saat mengkompilasi PHP, jika tidak ada kebutuhan khusus, perlu untuk melarang kompilasi dukungan penguraian PHP yang menghasilkan pola baris perintah CLI. Anda dapat menggunakan –disable-CLI pada waktu kompilasi. Setelah PHP dikompilasi untuk menghasilkan pola CLI, itu dapat dieksploitasi oleh penyusup untuk menyiapkan proses backdoor WEB Shell atau mengeksekusi kode arbitrer melalui PHP.
phpinfo()
Deskripsi fungsi: Keluaran informasi lingkungan PHP dan modul terkait, lingkungan WEB dan informasi lainnya.
Tingkat bahaya: Sedang
passthru()
Deskripsi fungsi: Memungkinkan program eksternal untuk dijalankan dan menggemakan output, mirip dengan exec().
Tingkat bahaya: tinggi
eksekutif()
Deskripsi fungsi: Memungkinkan eksekusi program eksternal (seperti perintah UNIX Shell atau CMD, dll.).
Tingkat bahaya: tinggi
sistem()
Deskripsi fungsi: Memungkinkan program eksternal untuk dijalankan dan output yang digaungkan, mirip dengan passthru().
Tingkat bahaya: tinggi
chroot()
Deskripsi fungsi: Ini dapat mengubah direktori root yang berfungsi dari proses PHP saat ini, dan hanya dapat berfungsi jika sistem mendukung mode CLI PHP, dan fungsi ini tidak berlaku untuk sistem Windows.
Tingkat bahaya: tinggi
scandir()
Deskripsi Fungsi: Mencantumkan file dan direktori di jalur tertentu.
Tingkat bahaya: Sedang
chgrp()
Deskripsi fungsi: Ubah grup pengguna tempat file atau direktori berada.
Tingkat bahaya: tinggi
chown()
Deskripsi Fungsi: Ubah pemilik file atau direktori.
Tingkat bahaya: tinggi
shell_exec()
Deskripsi fungsi: Jalankan perintah melalui shell dan kembalikan hasil eksekusi sebagai string.
Tingkat bahaya: tinggi
proc_open()
Deskripsi fungsi: Jalankan perintah dan buka penunjuk file untuk membaca dan menulis.
Tingkat bahaya: tinggi
proc_get_status()
Deskripsi fungsi: Dapatkan informasi tentang proses yang dibuka menggunakan proc_open().
Tingkat bahaya: tinggi
error_log()
Deskripsi fungsi: Kirim pesan kesalahan ke lokasi (file) yang ditentukan.
Catatan keamanan: Dalam beberapa versi PHP, Anda dapat menggunakan error_log() untuk melewati mode aman PHP,
Jalankan perintah sewenang-wenang.
Tingkat bahaya: rendah
ini_alter()
Deskripsi fungsi: Ini adalah fungsi alias dari fungsi ini_set(), yang memiliki fungsi yang sama dengan ini_set(). Lihat ini_set() untuk detailnya.
Tingkat bahaya: tinggi
ini_set()
Deskripsi fungsi: Ini dapat digunakan untuk memodifikasi dan mengatur parameter konfigurasi lingkungan PHP.
Tingkat bahaya: tinggi
ini_restore()
Deskripsi fungsi: Dapat digunakan untuk mengembalikan parameter konfigurasi lingkungan PHP ke nilai awalnya.
Tingkat bahaya: tinggi
dl()
Deskripsi fungsi: Muat modul eksternal PHP selama runtime PHP, bukan saat startup.
Tingkat bahaya: tinggi
pfsockopen()
Deskripsi Fungsi: Buat koneksi persisten soket ke domain Internet atau UNIX.
Tingkat bahaya: tinggi
syslog()
Deskripsi Fungsi: Memanggil fungsi syslog() tingkat sistem UNIX.
Tingkat bahaya: Sedang
tautan baca()
Deskripsi Fungsi: Mengembalikan konten file target yang dituju oleh koneksi simbol.
Tingkat bahaya: Sedang
symlink()
Deskripsi Fungsi: Buat tautan simbolis dalam sistem UNIX.
Tingkat bahaya: tinggi
popen()
Deskripsi fungsi: Anda dapat meneruskan perintah melalui parameter popen() dan menjalankan file yang dibuka oleh popen().
Tingkat bahaya: tinggi
stream_socket_server()
Deskripsi Fungsi: Buat koneksi server Internet atau UNIX.
Tingkat bahaya: Sedang
putenv()
Deskripsi fungsi: Digunakan untuk mengubah lingkungan set karakter sistem saat PHP sedang berjalan. Dalam versi PHP yang lebih awal dari versi 5.2.6, fungsi ini dapat digunakan untuk memodifikasi lingkungan set karakter sistem dan kemudian menggunakan perintah sendmail untuk mengirim parameter khusus untuk menjalankan perintah SHELL sistem.
Tingkat bahaya: tinggi
|
Mantan:Multithreading utas Peran penting IsBackground untuk utasDepan:Fungsi perpustakaan komparatif yang sangat berguna, sedikit kabur saat belajar, cari tahu dan bagikan dengan semua orang
|
Diposting pada 24/09/2019 13.30.17
