|
|
Paskelbta 2015-12-14 22:34:33
|
|
|
Kompiliuojant PHP, jei nėra specialaus poreikio, būtina uždrausti kompiliuoti PHP analizės palaikymą, kuris generuoja CLI komandų eilutės modelius. Galite naudoti –disable-CLI kompiliavimo metu. Kai PHP kompiliuojamas CLI modeliams generuoti, įsibrovėlis gali jį išnaudoti, kad nustatytų WEB Shell užpakalinių durų procesą arba vykdytų savavališką kodą per PHP.
phpinfo()
Funkcijos aprašymas: Išvesti PHP aplinkos informaciją ir susijusius modulius, WEB aplinką ir kitą informaciją.
Pavojaus lygis: vidutinis
passthru()
Funkcijos aprašymas: Leidžia vykdyti išorinę programą ir atkartoja išvestį, panašiai kaip exec().
Pavojaus lygis: aukštas
exec()
Funkcijos aprašymas: Leidžia vykdyti išorinę programą (pvz., UNIX Shell arba CMD komandas ir kt.).
Pavojaus lygis: aukštas
sistema()
Funkcijos aprašymas: Leidžia vykdyti išorinę programą ir atkartoti išvestį, panašią į passthru().
Pavojaus lygis: aukštas
chroot()
Funkcijos aprašymas: Jis gali pakeisti dabartinio PHP proceso darbinį šakninį katalogą ir gali veikti tik tuo atveju, jei sistema palaiko CLI režimą PHP, ir ši funkcija netaikoma "Windows" sistemoms.
Pavojaus lygis: aukštas
scandir()
Funkcijos aprašas: išvardijami failai ir katalogai nurodytu keliu.
Pavojaus lygis: vidutinis
chgrp()
Funkcijos aprašymas: pakeiskite vartotojų grupę, kuriai priklauso failas ar katalogas.
Pavojaus lygis: aukštas
chown()
Funkcijos aprašymas: pakeiskite failo arba katalogo savininką.
Pavojaus lygis: aukštas
shell_exec()
Funkcijos aprašymas: Vykdykite komandas per apvalkalą ir grąžinkite vykdymo rezultatą kaip eilutę.
Pavojaus lygis: aukštas
proc_open()
Funkcijos aprašymas: vykdykite komandą ir atidarykite failo žymeklį, kad galėtumėte skaityti ir rašyti.
Pavojaus lygis: aukštas
proc_get_status()
Funkcijos aprašas: gaukite informaciją apie procesą, atidarytą naudojant proc_open().
Pavojaus lygis: aukštas
error_log()
Funkcijos aprašymas: Siųskite klaidų pranešimus į nurodytas vietas (failus).
Saugos pastaba: Kai kuriose PHP versijose galite naudoti error_log(), kad apeitumėte PHP saugųjį režimą,
Vykdykite savavališkas komandas.
Pavojaus lygis: žemas
ini_alter()
Funkcijos aprašymas: Tai funkcijos ini_set() slapyvardžio funkcija, kuri atlieka tą pačią funkciją kaip ir ini_set(). Daugiau informacijos rasite ini_set().
Pavojaus lygis: aukštas
ini_set()
Funkcijos aprašymas: Jis gali būti naudojamas PHP aplinkos konfigūracijos parametrams keisti ir nustatyti.
Pavojaus lygis: aukštas
ini_restore()
Funkcijos aprašymas: Gali būti naudojamas atkurti PHP aplinkos konfigūracijos parametrus į pradines vertes.
Pavojaus lygis: aukštas
dl()
Funkcijos aprašymas: Įkelkite PHP išorinį modulį PHP vykdymo metu, o ne paleidžiant.
Pavojaus lygis: aukštas
pfsockopen()
Funkcijos aprašymas: Užmegzkite nuolatinį lizdo ryšį su interneto arba UNIX domenu.
Pavojaus lygis: aukštas
syslog()
Funkcijos aprašymas: Iškviečia UNIX sistemos sistemos lygio syslog() funkciją.
Pavojaus lygis: vidutinis
readlink()
Funkcijos aprašas: Grąžina tikslinio failo, į kurį nukreipia simbolio ryšį, turinį.
Pavojaus lygis: vidutinis
simbolinė nuoroda()
Funkcijos aprašymas: Sukurkite simbolinę nuorodą UNIX sistemoje.
Pavojaus lygis: aukštas
popen()
Funkcijos aprašymas: Galite perduoti komandą per popen() parametrus ir vykdyti failą, atidarytą popen().
Pavojaus lygis: aukštas
stream_socket_server()
Funkcijos aprašymas: Užmegzkite interneto arba UNIX serverio ryšį.
Pavojaus lygis: vidutinis
putenv()
Funkcijos aprašymas: Naudojamas sistemos simbolių rinkinio aplinkai keisti, kai veikia PHP. Ankstesnėse nei 5.2.6 PHP versijose ši funkcija gali būti naudojama norint modifikuoti sistemos simbolių rinkinio aplinką, o tada naudoti komandą sendmail, kad siųstumėte specialius parametrus sistemos SHELL komandai vykdyti.
Pavojaus lygis: aukštas
|
Ankstesnis:Thread multithreading Svarbus IsBackground vaidmuo gijomsKitą:Labai naudingos lyginamosios bibliotekos funkcijos, šiek tiek neaiškios mokantis, sužinokite ir pasidalinkite su visais
|
Paskelbta 2019-09-24 13:30:17
