这篇博客主要探讨了PHP代码审计中的常见安全漏洞,包括文件包含、SQL盲注注入、SQL插入注入、查询注入、注入漏洞、SQL注入、文件上传及功能缺失等问题,并给出了相应的解决建议和防护措施。
一、工具
seay源代码审计系统
二、漏洞
1、文件包含
主页index.php
没有过滤
gpc没有开启就可以本地包含,远程包含开启的话,直接可以写一个木马文件
在网站根目录新建一个phpinfo.php访问,在网址主页
http://www.faka.com/index.php?tp=default&action=../../phpinfo
解决办法:1、
2、开启gpc也可以
2、sql盲注注入
和首页的index.php在同一目录的ajax.php
可以盲注,但是因为调用了_if函数,不能使用=,可以造成ddos,发很多数据,数据库崩掉。
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
