 [php] Lista pozornie niebezpiecznych funkcji php na serwerze. |
| [php] Lista pozornie niebezpiecznych funkcji php na serwerze. |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 600 Pomógł: 2 Dołączył: 1.09.2002 Skąd: Wrocław Ostrzeżenie: (0%) 
 |
Witam.
Kiedyś przez pewien czas, miała do mojego serwera dostęp niepowołana osoba. Na serwerze jest masa katalogów i plików php. Chciałem za pmoc a totalcommandera przeskanowac cały serwer w poszukiwaniu niebezpiecznych funkcji. Na myśl narazie przychodzi mi: fopen() get_file_content() Czego mam jeszcze szukać? Co mógła zostawićna serwerze osoba trzecia mająca złe zamiary? |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarejestrowani Postów: 872 Pomógł: 94 Dołączył: 31.03.2010 Ostrzeżenie: (0%)
|
Cytat A takie coś da się zablokować? echo `ls -a`; Tak, należy zablokować funkcję shell_exec:
WARNING shell_exec() has been disabled for security reasons on line number 3 Dlatego jeszcze raz powtórzę: nie szukamy wystąpień ciągu znaków, tylko blokujemy niebezpieczne funkcje, bo pomysłowość ludzka jest bardzo bujna i na pewno nie wyłapiecie wszystkiego. Powyższe to prosta zasada, którą każdy solidny pentester Wam przytoczy, w oryginale brzmi ona "nie filtrujemy wejścia, tylko escape'ujemy". Ten post edytował lukaskolista 24.11.2016, 17:34:43 |
|
|
|
kukix [php] Lista pozornie niebezpiecznych funkcji php na serwerze. 24.11.2016, 14:16:49 
lukaskolista Kiepski pomysł ze skanowaniem po stringu:
[PHP] po... 24.11.2016, 14:27:42 
kukix Cytat(lukaskolista @ 24.11.2016, 15:27... 24.11.2016, 15:17:36 nospor Szukaj eval() a nie base64. Base64 samo w sobie je... 24.11.2016, 15:30:24 maly_swd $a='ev';
$a.='al';
... 24.11.2016, 15:43:26 nospor http://php.net/manual/en/function.eval.php
CytatNo... 24.11.2016, 15:54:11 lukaskolista Niebezpiecznych funkcji się nie szuka, tylko wyłąc... 24.11.2016, 17:09:16 maly_swd nospor: Dzięki za linka
A takie coś da się zablo... 24.11.2016, 17:20:13  |
|
Aktualny czas: 18.10.2025 - 11:59 |
