从表单输入在我的网站上运行PHP命令
从表单输入在我的网站上运行PHP命令
提问于 2022-08-03 13:01:10
我今天在我的网站上发现了一些文件被创建、删除和编辑。我不知道是怎么做到的。但我知道这可以通过一些PHP函数来完成,比如:
mkdir('Folder'); file_put_contents();scandir();...但是,这些代码只有在我用PHP代码编写时才会执行。
如何从$_GET值运行这些命令
示例PHP,它显示来自URL的?name查询。
可以在里面注入代码并黑进我的网站吗?
就像https://example.com?name=".mkdir("Hacked")."
如果是的话,那我怎么才能防止这些错误和黑客呢?
回答 2
Security用户
发布于 2023-01-04 04:41:32
正如其他人所指出的,您已经演示了XSS漏洞,而不是命令注入漏洞。
但是,如果有人正在您的服务器上创建文件,则您在其他地方有易受攻击的代码。做以下所有事情:
- 运行恶意软件扫描
- 更改所有与站点相关的密码
- 将事故通知用户
- 查看系统日志以获得线索。
- 更新您网站的软件
- 查看类似PayloadsAllTheThings的内容,了解各种web应用程序漏洞的信息。如果您可以在自己的代码中找到任何代码,请修复它们。
- 如果你能负担得起的话,也许可以买一个专业的安全审计。
还有更多,取决于你的具体问题。如果有人能够在您的服务器上执行命令并上传随机文件,他们可能能够从您的服务器窃取数据。请仔细检查您的系统日志和代码,以确定发生了什么。
干杯。
Security用户
发布于 2022-08-06 18:16:49
不,给定的代码不能导致命令注入。它确实会导致反射XSS (允许攻击者在浏览器中运行javascript,从而允许攻击者在您的网站上做任何您可以做的事情--如果您单击攻击者提供的链接)。
您正在考虑的那种注入将需要发生在执行命令(例如system('/someprogram [userinput]');)或执行place (例如eval('[...][userinput][...]'))的函数中。
攻击者还可以通过其他方式创建/删除/编辑文件(弱密码、易受攻击的web服务器、不安全的文件上载等)。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/263840
复制相关文章
相似问题
腾讯云开发者
