Acest articol este un articol oglindă al traducerii automate, vă rugăm să faceți clic aici pentru a sări la articolul original.

Architect_Programmer_Code Rețeaua Agricolă»Arhitect Programare PHP Analizare completă a funcțiilor periculoase în PHP
Vedere: 9719|Răspunde: 1

Analizare completă a funcțiilor periculoase în PHP

[Copiază linkul]
Postat pe 14.12.2015 22:34:33 | | |
La compilarea PHP, dacă nu există o nevoie specială, este necesar să se interzică compilarea suportului de parsing PHP care generează modele de linie de comandă CLI. Poți folosi –disable-CLI la compilare. Odată ce PHP este compilat pentru a genera modele CLI, poate fi exploatat de un intrus pentru a configura un proces backdoor WEB Shell sau pentru a executa cod arbitrar prin PHP.
phpinfo()
Descrierea funcției: Furnizarea informațiilor despre mediul PHP și modulele conexe, mediul WEB și alte informații.
Nivel de pericol: Mediu
passthru()
Descrierea funcției: Permite executarea unui program extern și ecouează ieșirea, similar cu exec().
Nivel de pericol: ridicat
exec()
Descrierea funcției: Permite executarea unui program extern (cum ar fi comenzile UNIX Shell sau CMD, etc.).
Nivel de pericol: ridicat
System()
Descrierea funcției: Permite executarea unui program extern și ecou-ul ieșirii, similar cu passthru().
Nivel de pericol: ridicat
chroot()
Descrierea funcției: Poate schimba directorul rădăcină de lucru al procesului PHP curent și poate funcționa doar dacă sistemul suportă PHP în modul CLI, iar această funcție nu este aplicabilă sistemelor Windows.
Nivel de pericol: ridicat
Scandir()
Descrierea funcției: Listează fișiere și directoare pe o cale specificată.
Nivel de pericol: Mediu
chgrp()
Descrierea funcției: Modifică grupul de utilizatori căruia îi aparține un fișier sau un director.
Nivel de pericol: ridicat
chown()
Descrierea funcției: Schimbă proprietarul unui fișier sau director.
Nivel de pericol: ridicat
shell_exec()
Descrierea funcției: Execută comenzi prin shell și returnează rezultatul execuției sub formă de șir.
Nivel de pericol: ridicat
proc_open()
Descrierea funcției: Execută o comandă și deschide pointerul fișierului pentru citire și scriere.
Nivel de pericol: ridicat
proc_get_status()
Descrierea funcției: Obține informații despre procesul deschis folosind proc_open().
Nivel de pericol: ridicat
error_log()
Descrierea funcției: Trimiteți mesaje de eroare către locații specificate (fișiere).
Notă de siguranță: În unele versiuni de PHP, poți folosi error_log() pentru a ocoli modul sigur PHP,
Execută comenzi arbitrare.
Nivel de pericol: scăzut
ini_alter()
Descrierea funcției: Este o funcție alias a funcției ini_set(), care are aceeași funcție ca ini_set(). Vezi ini_set() pentru detalii.
Nivel de pericol: ridicat
ini_set()
Descrierea funcției: Poate fi folosită pentru a modifica și seta parametrii de configurare a mediului PHP.
Nivel de pericol: ridicat
ini_restore()
Descrierea funcției: Poate fi folosită pentru a restaura parametrii de configurare a mediului PHP la valorile lor inițiale.
Nivel de pericol: ridicat
dl()
Descrierea funcției: Încarcă un modul extern PHP în timpul rulării PHP, nu la pornire.
Nivel de pericol: ridicat
pfsockopen()
Descrierea funcției: Stabilirea unei conexiuni persistente de socket către un domeniu Internet sau UNIX.
Nivel de pericol: ridicat
syslog()
Descrierea funcției: Apelează funcția syslog() la nivel de sistem a sistemului UNIX.
Nivel de pericol: Mediu
readlink()
Descrierea funcției: Returnează conținutul fișierului țintă către care indică conexiunea simbolului.
Nivel de pericol: Mediu
symlink()
Descrierea funcției: Creează o legătură simbolică într-un sistem UNIX.
Nivel de pericol: ridicat
popen()
Descrierea funcției: Poți trece o comandă prin parametrii popen() și poți executa fișierul deschis de popen().
Nivel de pericol: ridicat
stream_socket_server()
Descrierea funcției: Stabilirea unei conexiuni la Internet sau server UNIX.
Nivel de pericol: Mediu
putenv()
Descrierea funcției: Folosită pentru a schimba mediul setului de caractere al sistemului în timp ce PHP rulează. În versiunile PHP anterioare versiunii 5.2.6, această funcție poate fi folosită pentru a modifica mediul setului de caractere al sistemului și apoi pentru a folosi comanda sendmail pentru a trimite parametri speciali care să execute comanda SHELL a sistemului.
Nivel de pericol: ridicat





Precedent:Multithreading Rolul important al IsBackground pentru fire de execuție
Următor:Funcții comparative foarte utile ale bibliotecii, puțin vagi la învățare, află și împărtășește cu toată lumea

Postări conexe
Ok
Postat pe 24.09.2019 13:30:17 |
Mulțumesc, proprietar.
Disclaimer:
Tot software-ul, materialele de programare sau articolele publicate de Code Farmer Network sunt destinate exclusiv scopurilor de învățare și cercetare; Conținutul de mai sus nu va fi folosit în scopuri comerciale sau ilegale, altfel utilizatorii vor suporta toate consecințele. Informațiile de pe acest site provin de pe Internet, iar disputele privind drepturile de autor nu au legătură cu acest site. Trebuie să ștergi complet conținutul de mai sus de pe calculatorul tău în termen de 24 de ore de la descărcare. Dacă îți place programul, te rugăm să susții software-ul autentic, să cumperi înregistrarea și să primești servicii autentice mai bune. Dacă există vreo încălcare, vă rugăm să ne contactați prin e-mail.
Mail To:help@itsvse.com