网站地图    收藏   

主页 > 后端 > 网站安全 >

web常见攻击二——命令注入攻击(Command Injectio

来源:自学PHP网    时间:2015-04-16 23:15 作者: 阅读:

[导读] 前面我介绍了暴力破解攻击(Brute Force),那只是web攻击中最常见的一种,今天我介绍下命令注入攻击。所谓的web命令攻击就是系统都用户输入的数据没有进行严格的过滤就使用,从而给...

前面我介绍了暴力破解攻击(Brute Force), 那只是web攻击中最常见的一种,今天我介绍下命令注入攻击。

 

所谓的web命令攻击就是系统都用户输入的数据没有进行严格的过滤就使用,从而给黑客朋友留下了可乘之机。

对于web命令攻击我就不过多的介绍了,我给两个介绍web命令攻击的链接吧。

英文的 https://www.owasp.org/index.php/Testing_for_Command_Injection_(OWASP-DV-013)

中文的 http://www.2cto.com/Article/201208/146517.html

一 、 下面我们来看一下很危险的代码。

web命令攻击

web命令攻击-不安全的代码

这段代码没有对数据进行任何过滤就直接使用,是很危险的。比如用户输入的不是正常的ip(hh.kk.lll.ii),这段代码就惨烈了。

二、下面这段代码就对数据进行了初级过滤,我们来看一下。

web命令攻击-中等安全的代码

web命令攻击-中等安全的代码

我们看到这段代码用str_replace函数对ip进行了过滤,就是吧非法字符替换成了空字符。可是处理不了这种情况,ee.ee.ee.ee

str_replace函数介绍

三、下面我们来看安全的代码

web命令攻击-安全的代码

web命令攻击-安全的代码

这段代码验证了所获得ip是否是数字组成的,而且全面非法ip执行,是最安全的代码。

stripslaches函数的使用

explode函数的使用

stristr函数使用

shell_exec函数使用

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论