Hướng dẫn phpinfo rce
Đã đăng vào thg 6 4, 2019 7:46 SA 4 phút đọc Mô tảThực thi mã từ xa - Remote Code Execution tên viết tắt là RCE. Có thể hiểu là bạn sử dụng một số kỹ thuật nào đó để có thể chiếm được quyền điều khiển trên máy nạn nhân, thông qua đó có thể thực thi những câu lệnh shell, bash ..., hoặc thực thi code của những ngôn ngữ kịch bản (script) như python, perl, php, javascript, ... Những ứng dụng có thể dễ xảy ra RCE là do không kiểm soát, lọc dữ liệu đầu vào từ người dùng đúng cách. Một đoạn code ví dụ cơ bản về việc không lọc dữ liệu đầu vào và dễ dẫn đến RCE:
Nhìn qua ví dụ trên, kẻ tấn công có thể sử dụng một số cách sau để thực thi mã php tùy ý.
Các rủi ro
Tìm lỗi và cách phòng tránhCó thể dễ dàng kiểm tra xem web hoặc ứng dụng web của bạn có dễ bị tấn REC và các lỗ hổng khác hay không bằng cách quét web tự động bằng trình quét lỗ hổng Acunetix. Để phòng tránh thì tốt nhất nên kiểm soát tốt dữ liệu đầu vào cho ứng dụng của mình. Đối với ví dụ trên chúng ta có thể viết lại thành:
Có một mã lệnh mà giới chuyên môn gọi là “thần chú” cho ngôn ngữ PHP là: Tổng kết
All rights reserved |