|
PHP derlenirken, özel bir ihtiyaç yoksa, CLI komut satırı desenleri üreten PHP ayrıştırma desteğinin derlenmesinin yasaklanması gerekir. Derleme zamanında –disable-CLI kullanabilirsiniz. PHP derlendiğinde CLI desenleri oluşturulduğunda, bir izinsiz adam tarafından WEB Shell arka kapı süreci kurmak veya PHP üzerinden rastgele kod çalıştırmak için kullanılabilir. phpinfo() Fonksiyon tanımı: PHP ortam bilgileri ve ilgili modüller, WEB ortamı ve diğer bilgileri çıkarmak. Tehlike seviyesi: Orta passthru() Fonksiyon tanımı: Harici bir programın çalıştırılmasına izin verir ve exec()'a benzer şekilde çıktıyı yankılar. Tehlike seviyesi: yüksek exec() İş tanımı: Harici bir programın (örneğin UNIX Shell veya CMD komutları vb.) çalıştırılmasına izin verir. Tehlike seviyesi: yüksek system() Fonksiyon tanımı: Passthru()'a benzer şekilde harici bir programın çalıştırılmasına ve echoed çıkışının echoed edilmesine izin verir. Tehlike seviyesi: yüksek chroot() Fonksiyon tanımı: Mevcut PHP sürecinin çalışan kök dizinini değiştirebilir ve yalnızca sistem CLI mod PHP'yi destekliyorsa çalışabilir; bu fonksiyon Windows sistemleri için geçerli değildir. Tehlike seviyesi: yüksek scandir() Fonksiyon Tanımı: Belirli bir yolda dosya ve dizinleri listeler. Tehlike seviyesi: Orta chgrp() Fonksiyon tanımı: Bir dosya veya dizinin ait olduğu kullanıcı grubunu değiştirin. Tehlike seviyesi: yüksek Chown() İş Tanımı: Bir dosyanın veya dizinin sahibini değiştirin. Tehlike seviyesi: yüksek shell_exec() Fonksiyon tanımı: Shell üzerinden komutları çalıştırın ve yürütme sonucunu bir dizi olarak döndürün. Tehlike seviyesi: yüksek proc_open() Fonksiyon açıklaması: Bir komutu çalıştırın ve okuma ile yazma için dosya işaretçisini açın. Tehlike seviyesi: yüksek proc_get_status() Fonksiyon tanımı: proc_open() kullanılarak açılan süreç hakkında bilgi alın. Tehlike seviyesi: yüksek error_log() Fonksiyon tanımı: Hata mesajlarını belirtilen konumlara (dosyalara) gönderin. Güvenlik notu: Bazı PHP sürümlerinde, PHP güvenli modu atlamak için error_log() kullanabilirsiniz,
Keyfi komutları yürüt. Tehlike seviyesi: düşük ini_alter() Fonksiyon tanımı: ini_set() fonksiyonunun bir takma adıdır ve ini_set() ile aynı fonksiyona sahiptir. Detaylar için ini_set() adresine bakınız. Tehlike seviyesi: yüksek ini_set() Fonksiyon tanımı: PHP ortamı yapılandırma parametrelerini değiştirmek ve ayarlamak için kullanılabilir. Tehlike seviyesi: yüksek ini_restore() Fonksiyon tanımı: PHP ortamı yapılandırma parametrelerini başlangıç değerlerine geri yüklemek için kullanılabilir. Tehlike seviyesi: yüksek dl() Fonksiyon tanımı: PHP çalışma zamanında bir PHP harici modülü yükleyin, başlangıçta değil. Tehlike seviyesi: yüksek pfsockopen() Fonksiyon Tanımı: Bir internet veya UNIX alanına kalıcı bir soket bağlantısı kurun. Tehlike seviyesi: yüksek syslog() Fonksiyon Tanımı: UNIX sisteminin sistem düzeyindeki syslog() fonksiyonunu çağırır. Tehlike seviyesi: Orta readlink() Fonksiyon Tanımı: Sembol bağlantısının işaret ettiği hedef dosyanın içeriğini döndürür. Tehlike seviyesi: Orta symlink() Fonksiyon Tanımı: Bir UNIX sisteminde sembolik bir bağlantı oluşturun. Tehlike seviyesi: yüksek popen() Fonksiyon tanımı: Bir komutu popen() parametrelerinden geçirebilir ve popen() tarafından açılan dosyayı çalıştırabilirsiniz. Tehlike seviyesi: yüksek stream_socket_server() Fonksiyon Tanımı: İnternet veya UNIX sunucu bağlantısı kurun. Tehlike seviyesi: Orta putenv() Fonksiyon tanımı: PHP çalışırken sistem karakter seti ortamını değiştirmek için kullanılır. 5.2.6 sürümünden önceki PHP sürümlerinde, bu fonksiyon sistem karakter seti ortamını değiştirmek ve ardından sendmail komutunu kullanarak sistem SHELL komutunu çalıştırmak için özel parametreler göndermek için kullanılabilir. Tehlike seviyesi: yüksek
| 
Yayınlandı 24.10.2014 14:32:39
|
|
|
