PHP代码审计笔记--弱类型存在的安全问题
0x01 前言 PHP 是一门弱类型语言,不必向 PHP 声明该变量的数据类型,PHP 会根据变量的值,自动把变量转换为正确的数据类型。 弱类型比较,是一个比较蛋疼的问题,如左侧为字符串,右侧为一个整数,只不过左侧与右侧内容完全相等。 <?php var_dump(null ==fal...
针对PHP开发安全问题的相关总结
php给了开发者极大的灵活性,但是这也为安全问题带来了潜在的隐患,近期需要总结一下以往的问题,在这里借翻译一篇文章同时加上自己开发的一些感触总结一下。 简介 当开发一个互联网服务的时候,必须时刻牢记安全观念,并在开发的代码中体现。PHP脚本语言对安全问题并不关心,特别是对大多数没有经验的开发者来说。...
PHP弱类型安全问题总结
前段时间做了南京邮电大学网络攻防平台上面的题目,写了一个writeup之后,还有必要总结一下。由于做的题目都是web类型的,所有的题目都是使用PHP来写的,所以很多题目并没有考察到传统的如SQL注入,XSS的类型的漏洞,很多都是PHP本身语法的问题。鉴于目前PHP是世界上最好的语言,PHP本身的问题...
用户上传a.jpg文件,文件内容实际为php代码,会不会有安全问题?
用户上传a.jpg文件,文件内容实际为php代码,会不会有安全问题?如果有,如何防止?
php函数fsockopen引起的安全问题
在网上搜 fsockopen+攻击 可以搜到关于这个函数可以发起ddos攻击的文章,所以很多IDC禁用了php的这个函数。我很奇怪fsockopen可以的话,curl不是也可以吗,各种发起远程请求的函数不是都可以吗,为什么就fsockopen会引起攻击。。。
php中assert方法的安全问题
php中assert本来是用于调试的,如果assert方法内的代码不为true,则给个Warning提醒。如下面的代码。 <?php assert('1==2'); ?> 执行后会有如下输出: Warning: assert(): Assertion "1==2" failed in D...
PHP文件上传中的安全问题
在使用PHP进行开发时,经常遇到文件上传的场景。其中会隐藏很多我们平时注意不到的安全问题,我总结了一下,主要有几个方面:1、检查用户传来的文件名,避免 ../etc/passwd 这样的探测2、有些应用使用了用户名做为路径名,那么也需要对用户名进行详细的检查3、有些人提到了文件上传的Dos攻击,这个...
本页面内关键词为智能算法引擎基于机器学习所生成,如有任何问题,可在页面下方点击"联系我们"与我们沟通。
社区圈子
