不同之处:命令执行是执行操作系统命令,而代码执行是执行代码语句,代码语句可以具有命令执行能力。
危险注意:php中的system和exec两个函数可以代用外部命令。
代码执行函数:assert和eval和preg_replace
经典案例:file_put_contents()函数来写文件
代码执以外的其他状况导致命令执行:破壳漏洞和imagemagick漏洞
提权:
注意:web的方式执行命令采用非管理员用户,如WWW-DATA
命令执行漏洞:用;的方式分隔命令
防范:少用执行命令函数,php中禁用disable_functions
程序参数情况下,用escapeshellcmd进行过滤
对参数过滤,敏感字符转义
使用json保存数组,当读取时就不用eval了
对eval的使用的用户严格过滤
最后
以上就是真实仙人掌最近收集整理的关于【学习笔记】命令和代码执行漏洞的全部内容,更多相关【学习笔记】命令和代码执行漏洞内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复