可能受到的攻击

可能受到的攻击
52jyhcc
52jyhcc
97
阅读
0
评论
2021年12月01日09:26:29 0 97

可能受到的攻击

如果不想把 PHP 嵌入到服务器端软件(如 Apache)作为一个模块安装的话,可以选择以 CGI 的模式安装。或者把 PHP 用于不同的 CGI 封装以便为代码创建安全的 chroot 和 setuid 环境。这种安装方式通常会把 PHP 的可执行文件安装到 web 服务器的 cgi-bin 目录。CERT 建议书 » CA-96.11 建议不要把任何的解释器放到 cgi-bin 目录。尽管 PHP 可以作为一个独立的解释器,但是它的设计使它可以防止下面类型的攻击: 

◾ 访问系统文件:http://my.host/cgi-bin/php?/etc/passwd  在 URL 请求的问号(?)后面的信息会传给 CGI 接口作为命名行的参数。其它的解释器会在命令行中打开并执行第一个参数所指定的文件。  但是,以 CGI 模式安装的 PHP 解释器被调用时,它会拒绝解释这些参数。  

◾ 访问服务器上的任意目录:http://my.host/cgi-bin/php/secret/doc.html  好像上面这种情况,PHP 解释器所在目录后面的 URL 信息 /secret/doc.html 将会例行地传给 CGI 程序并进行解释。通常一些 web 服务器的会将它重定向到页面,如 http://my.host/secret/script.php。如果是这样的话,某些服务器会先检查用户访问 /secret 目录的权限,然后才会创建 http://my.host/cgi-bin/php/secret/script.php 上的页面重定向。不幸的是,很多服务器并没有检查用户访问 /secret/script.php 的权限,只检查了 /cgi-bin/php 的权限,这样任何能访问 /cgi-bin/php 的用户就可以访问 web 目录下的任意文件了。  在 PHP 里,编译时配置选项 --enable-force-cgi-redirect 以及运行时配置指令 doc_root 和 user_dir 都可以为服务器上的文件和目录添加限制,用于防止这类攻击。下面将对各个选项的设置进行详细讲解。 

打赏 点赞(0)
weinxin
投诉建议
文章名+链接地址,发送到此微信:tourism52
javascript,注释 菜鸟教程

JavaScript 注释

JavaScript 注释JavaScript 注释可用于提高代码的可读性。JavaScript 注释JavaScript 不会执行注释。我们可以添加注释来对 JavaScript...
XSL-FO,教程,XSL-FO,教程,XSLFO,简介,在,我们,的,中, 菜鸟教程

XSL-FO 教程

XSL-FO 教程 XSLFO 教程 XSLFO 简介 在我们的 XSL-FO 教程中,您将了解到什么是 XSL-FO。 您将学习如何使用 XSL-FO 对用于输出的XML文档进行...
第8章 ,css,布局,应用 菜鸟教程

第8章 CSS布局应用

第8章 CSS布局应用本章要内容包括:通过本章的学习,掌握利用浮动布局、位置定位布局的方法设计实现不同版式网页的能力。同时,掌握并实现面向移动端的响应式网页布局。l 导航l 卡片式...
CSS,CSS,动画,背景,边框,和,轮廓,盒,框,颜色, 菜鸟教程

CSS

CSS 动画 背景 边框和轮廓 盒(框) 颜色 内容分页媒体 定位 可伸缩框 字体 生成内容 网格 超链接 行框 列表 外边距 Marquee 多列 内边距 分页媒体 定位 打印 ...
逻辑,运算符 菜鸟教程

逻辑运算符

逻辑运算符逻辑运算符例子名称结果$a and $bAnd(逻辑与)TRUE,如果$a和$b都为 TRUE。$a or $bOr(逻辑或)TRUE,如果$a或$b任一为 TRUE。$...
W3C,DOM,活动,W3C,DOM,活动,文档,对象,模型,是, 菜鸟教程

W3C DOM 活动

W3C DOM 活动 文档对象模型 (DOM) 是一个平台,一个中立于语言的应用程序编程接口 (API),允许程序访问并更改文档的内容、结构和样式。 DOM 教程 如需学习更多有关...
XML,用途,XML,用途,应用于,Web,开发,的,许多方面, 菜鸟教程

XML 用途

XML 用途 XML 应用于 Web 开发的许多方面,常用于简化数据的存储和共享。 XML 把数据从 HTML 分离 如果您需要在 HTML 文档中显示动态数据,那么每当数据改变时...

评论列表 共有 0 条评论

暂无评论