我有一个简单的机制,可以将我在 http 请求中获取的 key 的分析结果保存到 mysql 表中。例如对于 url
http://example.com?analyticsKey=button1
我要添加到键值表:key=button1, value=value+1
我知道这确实是一个相当肮脏的解决方案,但当我转义输入时,我没有看到任何值得担心的理由。但是,我确实注意到尝试了这些输入:
../../../../../../../../../../etc/passwd
或 ../../../../../../../../../../proc/self/environ
等等..
黑客是否假设此输入被用作读取的文件路径?这种情况常见吗?
最佳答案
攻击者(或)自动扫描程序尝试对您的域进行目录遍历
攻击。
这些自动化工具会执行这些肮脏的工作
,以检查此类目录或文件是否存在借助返回的响应代码
你的网络服务器。
如果您的网络服务器针对这些尝试返回了有效的 200
响应代码,则攻击者可能通过其他方式
获得了对您服务器的访问权限>.
关于php - 了解黑客尝试,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20478010/