1
我可以準確理解open_basedir ini設置的作用,但是在閱讀文檔時,它描述了它如何防範包括攻擊 - 攻擊者可以通過攻擊包含文件來攻擊系統。PHP包含攻擊
但是我不能找到一個這樣的例子,這究竟是什麼。
是否可以提供此類攻擊的示例
Q
PHP包含攻擊
A
回答
0
您可以在服務器上包含其他用戶的文件。
所以你filebase: /家庭/馬蒂/
另一個用戶filebase: /家庭/ user231
沒有open_basedir的(與錯filepermissions),您可以包括其他用戶的文件:
include("/home/user231/public_html/connection.php");
或者:
file_get_contents("/home/user231/public_html/connection.php");
+0
但這隻會是一個共享服務器上的問題嗎? – 2013-02-15 19:53:22
+0
是的。正確...但它也確保你不能在該文件夾之外寫入,所以如果黑客不在basedir中,黑客就不能寫入/ var/tmp。這使得使用php訪問服務器上的其他文件變得有點困難。 – 2013-02-15 19:55:07
相關問題
- 1. 發現攻擊數據包
- 2. PHP - 再次編碼攻擊
- 3. php可能的攻擊?
- 4. 遠程javascript-ajax-php攻擊
- 5. 跨站點腳本攻擊(xss)攻擊
- 6. 如何應對攻擊xmlrpc.php攻擊
- 7. PHP:如何完全防止XSS攻擊?
- 8. 所有PHP文件被黑客攻擊
- 9. 通過PHP形式的釣魚攻擊
- 10. 易受攻擊的PHP代碼示例?
- 11. 針對XSS一個URL PHP filter_var攻擊
- 12. php防止csrf攻擊多次提交
- 13. PHP可能的頭重定向攻擊?
- 14. 例子/ PHP中類型的XSS攻擊
- 15. 攻擊堆棧
- 16. 字典攻擊
- 17. XHR攻擊
- 18. Nhibenate-DOS攻擊
- 19. 包含:'date'.php
- 20. Exchange 2010 MITM攻擊
- 21. 通過java.awt.Font攻擊
- 22. 線性化攻擊
- 23. Bruteforce攻擊項目
- 24. XSS攻擊防範
- 25. SQL注入攻擊
- 26. SQL注入攻擊
- 27. XSS攻擊防護
- 28. Android防止人爲攻擊SSL中間人攻擊
- 29. 玩家在第二次嘗試攻擊時攻擊兩次
- 30. XSS腳本攻擊攻擊 - >無法調用javascript
它ñ與其他不好的代碼結合起來真正被利用。 「未能用open_basedir指定一組限制性目錄可以使攻擊者更容易利用其他漏洞。」參考:https://www.owasp.org/index.php/PHP_Top_5 – ficuscr 2013-02-15 19:40:38