这类知识对于一个上线的服务还是非常重要的,我们要时刻关注到自己提供服务的安全性,来保证服务能够连续、稳定的运行。
02 远程访问限制
在 php.ini 中还有两个参数需要注意 allow_url_fopen 和 allow_url_include。
在开启 allow_url_fopen 配置项后,PHP 仅能够对远程文件进行读写等文件操作。
在开启 allow_url_include 配置项后,PHP 将能够通过 include 等函数将远程文件包含至当前文件并将其作为 PHP 代码进行执行。
文件包含漏洞可以分为LFl(Local File Inclusion本地文件包含)和RFI(Remote File Inclusion,远程文件包含)两种。
而区分二者最简单的办法就是通过查看 php.ini 中是否开启了allow_url_include。如果开启就有可能包含远程文件。
远程文件包含需要 php.ini 中allow_url_include = On, allow_url_fopen = On。
在 php.ini 中,allow_url_fopen 默认一直是On,而 allow_url_include 从 PHP5.2 之后就默认为Off。
在一些第三方服务中,可能会用到 file_get_contents(),因此 allow_url_fopen 通常来说都是设置为On。研发人员只需要谨慎使用 file_get_contents() 函数即可。 例如:支付宝的SDK中就会用到该函数,来提取根证书序列号。
03 禁用危险函数
在PHP中还有很多危险的内置功能函数,如果使用不当,可能会造成系统崩溃。
在 php.ini 中添加禁用函数 disable_functions 可以有效地避免 webshell。
以下是一些建议禁用地函数。
| 函数名称 | 功能介绍 |
|---|---|
| chgrp | 改变文件或目录所属地用户组 |
| chown | 改变文件或目录地所有者 |
| chroot | 可改变当前 PHP 进程的工作根目录,仅当系统支持 CLI 模式时 PHP 才能工作,且该函数不适用于 Windows 系统 |
| dl | 在 PHP 运行过程中(而非启动时)加载一个 PHP 外部模块 |
| exec | 允许执行一个外部程序(如 UNIX Shell 或 CMD 命令等) |
| ini_alter | 是 ini_set() 函数的一个别名函数,功能与 ini_set()相同 |
| ini_restore | 可用于将 PHP 环境配置参数恢复为初始值 |
| ini_set | 可用于修改、设置 PHP 环境配置参数 |
| passthru | 允许执行一个外部程序并回显输出,类似于 exec() |
| pfsockopen | 建立一个 Internet 或 UNIX 域的 socket 持久连接 |
| 先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7 |
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
需要这份系统化资料的朋友,可以点击这里获取
、实战项目、大纲路线、讲解视频,并且后续会持续更新**
4144
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
