1. 全栈程序员必看首页

php allow_url_include,allow_url_include的应用和解释

全栈程序员-站长 未分类 阅读 13

php allow_url_include,allow_url_include的应用和解释PHP常常因为它可能允许URLS被导入和执行语句被人们指责。事实上,这件事情并不是很让人感到惊奇,因为这是导致称为RemoteURLIncludevulnerabilities的php应用程序漏洞的最重要的原因之一。因为这个原因,许多安全研究人员建议在php.ini配置中禁用指向allow_url_fopen。不幸的是,许多推荐这种方法的人,并没有意识到,这样会破坏很多的应用并且并不能保证1…

大家好,又见面了,我是你们的朋友全栈君。

PHP常常因为它可能允许URLS被导入和执行语句被人们指责。事实上,这件事情并不是很让人感到惊奇,因为这是导致称为Remote URL Include vulnerabilities的php应用程序漏洞的最重要的原因之一。

因为这个原因,许多安全研究人员建议在php.ini配置中禁用指向allow_url_fopen。不幸的是,许多推荐这种方法的人,并没有意识到,这样会破坏很多的应用并且并不能保证100%的解决remote URL includes以及他带来的不安全性。

通常,用户要求在他们使用其他的文件系统函数的时候,php允许禁止URL包含和请求声明支持。

因为这个原因,计划在PHP6中提供allow_url_include。在这些讨论之后,这些特性在php5.2.0 中被backported。现在大多数的安全研究人员已经改变了他们的建议,只建议人们禁止allow_url_include。

不幸的是,allow_url_fopen和allow_url_include并不是导致问题的原因。一方面来说在应用中包含本地文件仍然是一件足够危险的事情,因为攻击者经常通过sessiondata, fileupload, logfiles,…等方法获取php代码………

另一方面allow_url_fopen和allow_url_include只是保护了against URL handles标记为URL.这影响了http(s) and ftp(s)但是并没有影响php或date(new in php5.2.0) urls.这些url形式,都可以非常简单的进行php代码注入。

Example 1: Use php://input to read the POST data

<?php

// Insecure Include

// The following Include statement will

// include and execute everything POSTed

// to the server

include “php://input”;

?>

Example 2: Use data: to Include arbitrary code

<?php

// Insecure Include

// The following Include statement will

// include and execute the base64 encoded

// payload. Here this is just phpinfo()

include “data:;base64,PD9waHAgcGhwaW5mbygpOz8+”;

?>

把这些放到我们的运算里面将会非常明显的发现既不是url_allow_fopen也不是url_allor_include 被保障。这些只是因为过滤器很少对矢量进行过滤。能够100%解决这个URL include vulnerabilities的方法是我们的Suhosin扩展.

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/162826.html原文链接:https://javaforall.net

(0)
0 0

关于作者

全栈程序员-站长的头像

全栈程序员-站长

133.5K 文章
3 粉丝
本网站汇聚当前互联网主流语音,持续更新,欢迎关注公众号“全栈程序员社区”
上一篇 2022年7月21日 上午6:36
下一篇 2022年7月21日 上午6:36


相关推荐

  • fftw java_FFTW中文参考

    fftw java_FFTW中文参考

    fftw java_FFTW中文参考据说 FFTW FastestFouri 是世界上最快的 FFT 为了详细了解 FFTW 以及为编程方便 特将用户手册看了一下 并结合手册制作了以下 FFTW 中文参考 其中大部分是原文重点内容的翻译 并加入了一些注解 一 简介先看一下使用 FFTW 编程的方法 include fftw complex in out fftw planp

    全栈程序员-站长的头像 全栈程序员-站长
    2026年3月19日
    1
  • 构建平衡二叉树「建议收藏」

    构建平衡二叉树「建议收藏」

    构建平衡二叉树「建议收藏」构建平衡二叉树

    全栈程序员-站长的头像 全栈程序员-站长
    2022年4月25日
    42
  • 周鸿祎动作很快,但360安全龙虾,很难成为爆款 openclaw

    周鸿祎动作很快,但360安全龙虾,很难成为爆款

    周鸿祎动作很快,但360安全龙虾,很难成为爆款

    Ai探索者的头像 Ai探索者
    2026年3月15日
    1
  • 使用decode函数

    使用decode函数

    使用decode函数Decode函数使用:Oracle的decode函数蛮有意思,是oracle独有的,国际标准SQL中并没有decode函数。语法DECODE(col|expression,search1,result1[,search2,result2,…,][,default])例子SELECTproduct_id,DECODE(warehouse_id,1…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月25日
    8
  • js中offsetParent详解

    js中offsetParent详解

    js中offsetParent详解1 offsetParent 返回元素的偏移容器 定义 offsetParent 就是距离该子元素最近的进行过定位的父元素 position absolute relative fixed 如果其父元素中不存在定位则 offsetParent 为 body 元素 2 根据定义分别存在以下几种情况 1 元素自身有 fixed 定位 父元素不存在定位 则 offsetParent 的结果为 null firefox 中为 body 其他浏览器返回为 null 2 元素自身无 fixed 定位 且父元素也不存在定位

    全栈程序员-站长的头像 全栈程序员-站长
    2026年3月19日
    3
  • typescript的泛型_c泛型

    typescript的泛型_c泛型

    typescript的泛型_c泛型泛型指在定义函数、接口或类的时候,不预先指定具体的类型,而在使用的时候再指定具体类型的一种特性。引入下面创建一个函数,实现功能:根据指定的数量count和数据value,创建一个包

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月29日
    9

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号