Moja strona została po prostu zbombardowana przez atakującego, który próbował przekazać "php: // input" do dowolnej zmiennej GET/POST, o której mogli myśleć. Jeśli próbujesz wykorzystać lukę w zabezpieczeniach, nie jestem tego świadomy. Co może próbować wykorzystać ten użytkownik?Jakie luki dotyczą atakującego wysyłającego "php: // input"?
http://www.owasp.org/index.php/Top_10_2007-Malicious_File_Execution
php: // input odczytuje dane z żądania przychodzące. Zasadniczo, co atakujący może próbować zrobić to pass „php: // input” do słabego dyrektywy php takich jak:
include $_REQUEST['filename'];
To pozwoli atakującemu wysyłanie „zawartość” pliku php wykonać za pośrednictwem żądania, co pozwala mu na wykonanie kodu php na komputerze
To było coś, co uważałem za podobne do tego, jak zostało zhackowane konto na Twitterze na Twitterze (http://eng.xakep.ru/link/50643/). Całkiem dziwny sposób na atak, ale przypuszczam, że brutalne zmuszanie jest tańsze niż moc mózgu. –
Może ktoś, kto uruchamia eval na php?
$data = file_get_contents('php://input');
eval($data);
Nie widziałem tego osobiście, ale założę się, że ktoś to zrobił w pewnym momencie, myśląc, że może być bezpieczny.
Jest to prawdopodobnie próba wymuszenia oceny kodu PHP przekazywanego przez surowe dane żądania - wydaje się jednak nieco nadzieja.
Nie sądziłem, że "php: //" jest protokołem ... czy to legalne, czy tylko jakiś łańcuch śmieci jest atakowany przez atakującego? – FrustratedWithFormsDesigner
@FrustratedWithFormsDesigner: 'php: // input' to strumień wejściowy PHP. Zobacz [tutaj] (http://php.net/manual/en/wrappers.php.php). – BoltClock