记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

web常见攻击二——命令注入攻击(Command Injection Execution)

2014-03-10 02:40
前面我介绍了暴力破解攻击(Brute Force), 那只是web攻击中最常见的一种,今天我介绍下命令注入攻击。

 

所谓的web命令攻击就是系统都用户输入的数据没有进行严格的过滤就使用,从而给黑客朋友留下了可乘之机。

对于web命令攻击我就不过多的介绍了,我给两个介绍web命令攻击的链接吧。

英文的 https://www.owasp.org/index.php/Testing_for_Command_Injection_(OWASP-DV-013)

中文的 http://www.hackdig.com/Article/201208/146517.html

一 、 下面我们来看一下很危险的代码。

web命令攻击

web命令攻击-不安全的代码

这段代码没有对数据进行任何过滤就直接使用,是很危险的。比如用户输入的不是正常的ip(hh.kk.lll.ii),这段代码就惨烈了。

二、下面这段代码就对数据进行了初级过滤,我们来看一下。

web命令攻击-中等安全的代码

web命令攻击-中等安全的代码

我们看到这段代码用str_replace函数对ip进行了过滤,就是吧非法字符替换成了空字符。可是处理不了这种情况,ee.ee.ee.ee

str_replace函数介绍

三、下面我们来看安全的代码

web命令攻击-安全的代码

web命令攻击-安全的代码

这段代码验证了所获得ip是否是数字组成的,而且全面非法ip执行,是最安全的代码。

stripslaches函数的使用

explode函数的使用

stristr函数使用

shell_exec函数使用

知识来源: www.2cto.com/Article/201403/284294.html

阅读:159285 | 评论:0 | 标签:注入

想收藏或者和大家分享这篇好文章→复制链接地址

“web常见攻击二——命令注入攻击(Command Injection Execution)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云