qq_42665286的博客

原创 【小迪安全】Day30web漏洞-RCE代码及命令执行漏洞全解

【小迪安全】Day30web漏洞-RCE代码及命令执行漏洞全解在 Web 应用中有时候程序员为了考虑灵活性、简洁性，会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时，没有考虑用户是否能控制这个字符串，将造成代码执行漏洞。同样调用系统命令处理，将造成命令执行漏洞。#代码执行 RCE 漏洞原理，攻击，检测，危害，修复等搭建靶场—eval()函数作用，即get传递的参数（字符串）会当成PHP脚本执行访问靶场—发现传递的参数被当成PHP脚本执行—