前面我介绍了暴力 破解攻击(Brute Force), 那只是web攻击中最常见的一种,今天我介绍下命令注入攻击。
所谓的web命令攻击就是系统都用户输入的数据没有进行严格的过滤就使用,从而给黑客朋友留下了可乘之机。
对于web命令攻击我就不过多的介绍了,我给两个介绍web命令攻击的链接吧。
英文的 https://www.owasp.org/index.php/Testing_for_Command_Injection_(OWASP-DV-013)
中文的 http://www.2cto.com/Article/201208/146517.html
一 、 下面我们来看一下很危险的代码。
web命令攻击-不安全的代码
这段代码没有对数据进行任何过滤就直接使用,是很危险的。比如用户输入的不是正常的ip(hh.kk.lll.ii),这段代码就惨烈了。二、下面这段代码就对数据进行了初级过滤,我们来看一下。
web命令攻击-中等安全的代码
我们看到这段代码用str_replace函数对ip进行了过滤,就是吧非法字符替换成了空字符。可是处理不了这种情况,ee.ee.ee.ee
str_replace函数介绍
三、下面我们来看安全的代码
web命令攻击-安全的代码
这段代码验证了所获得ip是否是数字组成的,而且全面非法ip执行,是最安全的代码。
stripslaches函数的使用
explode函数的使用
stristr函数使用
shell_exec函数使用
查看更多关于web常见攻击二——命令注入攻击(Command Injectio的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did15689