1
我可以准确理解open_basedir ini设置的作用,但是在阅读文档时,它描述了它如何防范包括攻击 - 攻击者可以通过攻击包含文件来攻击系统。PHP包含攻击
但是我不能找到一个这样的例子,这究竟是什么。
是否可以提供此类攻击的示例
Q
PHP包含攻击
A
回答
0
您可以在服务器上包含其他用户的文件。
所以你filebase: /家庭/马蒂/
另一个用户filebase: /家庭/ user231
没有open_basedir的(与错filepermissions),您可以包括其他用户的文件:
include("/home/user231/public_html/connection.php");
或者:
file_get_contents("/home/user231/public_html/connection.php");
+0
但这只会是一个共享服务器上的问题吗? – 2013-02-15 19:53:22
+0
是的。正确...但它也确保你不能在该文件夹之外写入,所以如果黑客不在basedir中,黑客就不能写入/ var/tmp。这使得使用php访问服务器上的其他文件变得有点困难。 – 2013-02-15 19:55:07
相关问题
- 1. 发现攻击数据包
- 2. PHP - 再次编码攻击
- 3. php可能的攻击?
- 4. 远程javascript-ajax-php攻击
- 5. 跨站点脚本攻击(xss)攻击
- 6. 如何应对攻击xmlrpc.php攻击
- 7. PHP:如何完全防止XSS攻击?
- 8. 所有PHP文件被黑客攻击
- 9. 通过PHP形式的钓鱼攻击
- 10. 易受攻击的PHP代码示例?
- 11. 针对XSS一个URL PHP filter_var攻击
- 12. php防止csrf攻击多次提交
- 13. PHP可能的头重定向攻击?
- 14. 例子/ PHP中类型的XSS攻击
- 15. 攻击堆栈
- 16. 字典攻击
- 17. XHR攻击
- 18. Nhibenate-DOS攻击
- 19. 包含:'date'.php
- 20. Exchange 2010 MITM攻击
- 21. 通过java.awt.Font攻击
- 22. 线性化攻击
- 23. Bruteforce攻击项目
- 24. XSS攻击防范
- 25. SQL注入攻击
- 26. SQL注入攻击
- 27. XSS攻击防护
- 28. Android防止人为攻击SSL中间人攻击
- 29. 玩家在第二次尝试攻击时攻击两次
- 30. XSS脚本攻击攻击 - >无法调用javascript
它ñ与其他不好的代码结合起来真正被利用。 “未能用open_basedir指定一组限制性目录可以使攻击者更容易利用其他漏洞。”参考:https://www.owasp.org/index.php/PHP_Top_5 – ficuscr 2013-02-15 19:40:38