PHPにおける危険関数の完全なパーシング

クズども · 掲載地 2015/12/14 22:34:33

PHPをコンパイルする際、特別な必要がない場合は、CLIコマンドラインパターンを生成するPHP解析サポートのコンパイルを禁止する必要があります。コンパイル時に –disable-CLI を使うことができます。 PHPがCLIパターンを生成するためにコンパイルされると、侵入者がWEB Shellのバックドアプロセスを構築したり、PHPで任意のコードを実行したりするために悪用される可能性があります。
phpinfo()
関数説明:PHP環境情報および関連モジュール、WEB環境およびその他の情報を出力します。
危険度レベル:中程度
パススルー()
関数説明:exec()と同様に、外部プログラムの実行と出力のエコーを許可します。
危険度:高い
exec()
関数記述:UNIXシェルやCMDコマンドなどの外部プログラムの実行を可能にします。
危険度:高い
system()
関数説明:外部プログラムの実行とエコー出力を可能にし、passthru()に似ています。
危険度:高い
chroot()
関数の説明:現在のPHPプロセスの作業ルートディレクトリを変更でき、システムがCLIモードPHPをサポートしている場合のみ動作します。この機能はWindowsシステムには適用されません。
危険度:高い
スカンディア()
関数説明:指定されたパス内のファイルとディレクトリを一覧化します。
危険度レベル:中程度
CHGRP()
関数説明:ファイルやディレクトリが属するユーザーグループを変更します。
危険度:高い
チャウン()
関数説明:ファイルやディレクトリの所有者を変更する。
危険度:高い
shell_exec()
関数の説明:シェルを通じてコマンドを実行し、実行結果を文字列として返します。
危険度:高い
proc_open()
関数の説明:コマンドを実行し、ファイルポインタを開いて読み書きを行います。
危険度:高い
proc_get_status()
関数説明:proc_open()を使って開いたプロセスに関する情報を得ることができます。
危険度:高い
error_log()
機能説明:指定された場所(ファイル)にエラーメッセージを送信します。
安全対策:一部のPHPバージョンでは、error_log()を使ってPHPセーフモードを回避できます。
任意の命令を実行してください。
危険度:低い
ini_alter()
関数の説明:これはini_set()関数の別名関数であり、ini_set()と同じ機能を持ちます。詳細はini_set()を参照してください。
危険度:高い
ini_set()
関数の説明:PHP環境の設定パラメータを修正・設定するために使用できます。
危険度:高い
ini_restore()
関数の説明:PHP環境の設定パラメータを初期値に復元するために使用できます。
危険度:高い
dl()
関数説明:PHPランタイム中にPHP外部モジュールをロードし、起動時ではありません。
危険度:高い
pfsockopen()
機能説明:インターネットまたはUNIXドメインへのソケット永続接続を確立します。
危険度:高い
syslog()
関数説明:UNIXシステムのシステムレベルのsyslog()関数を呼び出します。
危険度レベル:中程度
readlink()
関数説明:シンボル接続が指す対象ファイルの内容を返します。
危険度レベル:中程度
シンムリンク()
関数説明:UNIXシステム内でシンボリックリンクを作成します。
危険度:高い
popen()
関数の説明:popen()のパラメータにコマンドを通し、popen()で開いたファイルを実行できます。
危険度:高い
stream_socket_server()
機能説明:インターネットまたはUNIXサーバー接続を確立します。
危険度レベル:中程度
putenv()
関数説明:PHPが動作している間にシステムの文字セット環境を変更するために使用されます。バージョン5.2.6以前のPHPバージョンでは、この関数を使ってシステムの文字セット環境を変更し、sendmailコマンドを使って特別なパラメータを送信してシステムSHELLコマンドを実行することができます。
危険度:高い

大丈夫です · 掲載地 2019/09/24 13:30:17

ありがとうございます、大家さん。

PHPにおける危険関数の完全なパーシング

関連記事

閲覧したセクション