版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
Web应用安全第八章Web服务器端安全--8.2命令注入漏洞原理与防御2PHP中的命令执行原理命令执行是指PHP代码可以启动外部程序或执行系统命令示例程序—测试网络连通性if(empty($_POST['ip']))exit();
$ip=$_POST['ip'];$cmd=“ping{$ip}";$output=shell_exec($cmd);print("<xmp>");print($output);print("</xmp>");http:///cmdi/ping.php3PHP中的命令执行原理命令执行的相关函数exec函数exec(string$command[,array&$output[,int&$return_var]]):string$last_line=exec('whoami');system函数system(string$command[,int&$return_var]):string$last_line
=
system('ls',
$retval);shell_exec函数shell_exec(string$cmd):string其他函数和操作符……$output=shell_exec("dir".$path);4命令执行漏洞原理命令执行漏洞效果|typec:\secret.txt注意目录中反斜杠,不是斜杠5命令执行漏洞原理命令组合命令1|命令2:命令2无条件执行(管道,dir|find“nc”)命令1;命令2:命令2无条件执行(命令连接符,unix/linux系统)命令1||命令2:命令1失败,命令2执行(逻辑或)命令1&&命令2:命令1成功,命令2执行(逻辑与)命令1&命令2:命令2无条件执行(命令连接符)|typec:\secret.txt;type
c:\tmp\aa.txtaaa||typec:\secret.txt&&typec:\secret.txt&typec:\secret.txt6命令注入漏洞防范方法命令执行漏洞原理方法1:禁止调用命令执行函数方法2:数据过滤$ip=$_POST['ip'];$blacklist="/[|&]/";$ip=preg_replace($blacklist,'',$ip);过滤规则会不会有问题?7命令注入漏洞防范方法命令执行漏洞原理方法3:数据转义--escapeshellcmd$ip=$_POST['ip'];$cmd="ping{$ip}";//构造执行命令$cmd=escapeshellcmd($cmd);对命令中的特殊字符(如#,|,&,`,*,?等)进行了转义,在前面加上了转义符\(Windows系统则是使用脱字符^)8命令注入漏洞防范方法命令执行漏洞原理方法3:数据转义--escapeshellarg$ip=$_POST['ip'];$arg=escapeshellarg($ip);$cmd="ping{$arg}";//构造执行命令对字符串增加引号,并且能转义任何字符串中已经存在的引号,这样就可以确
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 患者翻身的间隔时间
- 内蒙古鄂尔多斯市达拉特旗九年级化学上册 3.1 氧气的性质和用途教案 (新版)粤教版
- 七年级语文下册 第四单元 西游记教案 苏教版
- 七年级生物上册 第一单元 第二章 第一节 生物圈教案 (新版)新人教版
- 江苏省江阴市高中生物 第六章 细胞的生命历程 6.3 细胞的衰老和凋亡教案 新人教版必修1
- 广东省中山市七年级生物下册 4.1.1人类的起源和发展教案 (新版)新人教版
- 三年级信息技术上册 第2课 认识计算机教案1 (新版)苏科版
- 购销煤炭合同模板
- 微型住宅出租合同模板
- 企业赞助经费合同模板
- 挖掘机使用前安全检查记录表
- 船舶度维护保养计划(甲板)
- 湘版小学二年级上册美术教案《小蝌蚪》
- 远程医疗会诊项目实施方案
- 柯氏四级评估模型
- 肺功能检查指南解读ppt课件
- 钢结构吊耳计算
- HF020控制器说明书详细版
- 数控车床编程技术
- 2018-2019年食品制造行业发展研究报告
- 广东常用的100种植物
评论
0/150
提交评论