我有一个简单的机制,可以将我在 http 请求中获取的 key 的分析结果保存到 mysql 表中。例如对于 url
http://example.com?analyticsKey=button1
我要添加到键值表:key=button1, value=value+1
我知道这确实是一个相当肮脏的解决方案,但当我转义输入时,我没有看到任何值得担心的理由。但是,我确实注意到尝试了这些输入:
../../../../../../../../../../etc/passwd 或 ../../../../../../../../../../proc/self/environ 等等..
黑客是否假设此输入被用作读取的文件路径?这种情况常见吗?
最佳答案
攻击者(或)自动扫描程序尝试对您的域进行目录遍历攻击。
这些自动化工具会执行这些肮脏的工作,以检查此类目录或文件是否存在借助返回的响应代码你的网络服务器。
如果您的网络服务器针对这些尝试返回了有效的 200 响应代码,则攻击者可能通过其他方式获得了对您服务器的访问权限>.
关于php - 了解黑客尝试,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20478010/