|
|
Objavljeno na 14. 12. 2015 22:34:33
|
|
|
Pri prevajanju PHP, če ni posebne potrebe, je potrebno prepovedati prevajanje podpore za razčlenjevanje PHP, ki generira ukazne vzorce CLI. Lahko uporabite –disable-CLI med prevajanjem. Ko je PHP preveden za generiranje vzorcev CLI, ga lahko vsiljivec izkoristi za vzpostavitev WEB Shell backdoor procesa ali za izvajanje poljubne kode preko PHP.
phpinfo()
Opis funkcije: Izhod informacij o PHP okolju in sorodnih modulih, WEB okolju in drugih informacijah.
Stopnja nevarnosti: Srednja
passthru()
Opis funkcije: Omogoča izvajanje zunanjega programa in odmeva izhod, podobno kot exec().
Stopnja nevarnosti: visoka
exec()
Opis funkcije: Omogoča izvajanje zunanjega programa (kot so ukazi UNIX Shell ali CMD itd.).
Stopnja nevarnosti: visoka
system()
Opis funkcije: Omogoča izvajanje zunanjega programa in odmev izhoda, podobno kot passthru().
Stopnja nevarnosti: visoka
chroot()
Opis funkcije: Lahko spremeni delujočo korensko mapo trenutnega PHP procesa in deluje le, če sistem podpira CLI način PHP, ta funkcija pa ni uporabna za Windows sisteme.
Stopnja nevarnosti: visoka
scandir()
Opis funkcije: Navaja datoteke in mape v določeni poti.
Stopnja nevarnosti: Srednja
chgrp()
Opis funkcije: Spremenite uporabniško skupino, kateri datoteka ali mapa pripada.
Stopnja nevarnosti: visoka
chown()
Opis funkcije: Spremenite lastnika datoteke ali mape.
Stopnja nevarnosti: visoka
shell_exec()
Opis funkcije: Izvedite ukaze skozi lupino in vrnite rezultat izvajanja kot niz.
Stopnja nevarnosti: visoka
proc_open()
Opis funkcije: Izvedite ukaz in odprite kazalec datoteke za branje in pisanje.
Stopnja nevarnosti: visoka
proc_get_status()
Opis funkcije: Pridobite informacije o procesu, ki se odprejo z uporabo proc_open().
Stopnja nevarnosti: visoka
error_log()
Opis funkcije: Pošiljanje sporočil o napakah na določene lokacije (datoteke).
Varnostna opomba: V nekaterih različicah PHP-ja lahko uporabite error_log() za obhod varnega načina PHP,
Izvajajte poljubne ukaze.
Stopnja nevarnosti: nizka
ini_alter()
Opis funkcije: Je vzdevna funkcija funkcije ini_set(), ki ima enako funkcijo kot ini_set(). Za podrobnosti glejte ini_set().
Stopnja nevarnosti: visoka
ini_set()
Opis funkcije: Uporablja se lahko za spreminjanje in nastavitev konfiguracijskih parametrov PHP okolja.
Stopnja nevarnosti: visoka
ini_restore()
Opis funkcije: Lahko se uporablja za obnovo konfiguracijskih parametrov PHP okolja na njihove začetne vrednosti.
Stopnja nevarnosti: visoka
dl()
Opis funkcije: Naložite PHP zunanji modul med izvajanjem PHP-ja, ne ob zagonu.
Stopnja nevarnosti: visoka
pfsockopen()
Opis funkcije: Vzpostavite trajno povezavo z vtičnico do internetne ali UNIX domene.
Stopnja nevarnosti: visoka
syslog()
Opis funkcije: Pokliče sistemsko syslog() funkcijo sistema UNIX.
Stopnja nevarnosti: Srednja
readlink()
Opis funkcije: Vrne vsebino ciljne datoteke, na katero se simbol poveže.
Stopnja nevarnosti: Srednja
symlink()
Opis funkcije: Ustvarite simbolno povezavo v UNIX sistemu.
Stopnja nevarnosti: visoka
popen()
Opis funkcije: Ukaz lahko posredujete skozi parametre popen() in izvedete datoteko, ki jo odpre popen().
Stopnja nevarnosti: visoka
stream_socket_server()
Opis funkcije: Vzpostavite povezavo z internetom ali UNIX strežnikom.
Stopnja nevarnosti: Srednja
putenv()
Opis funkcije: Uporablja se za spreminjanje okolja sistemskega nabora znakov, medtem ko teče PHP. V PHP različicah, starejših od 5.2.6, se ta funkcija lahko uporabi za spreminjanje okolja sistemskega nabora znakov in nato z ukazom sendmail pošlje posebne parametre za izvajanje sistemskega ukaza SHELL.
Stopnja nevarnosti: visoka
|
Prejšnji:Večnitno večnitno oblikovanje Pomembna vloga IsBackground za nitiNaslednji:Zelo uporabne primerjalne knjižnične funkcije, pri učenju so nekoliko nejasne, ugotovite in delite z vsemi
|
Objavljeno na 24. 09. 2019 13:30:17
