php中curl带来的风险

最新推荐文章于 2023-10-09 18:04:15 发布
最新推荐文章于 2023-10-09 18:04:15 发布
阅读量742 收藏
点赞数
分类专栏: php源代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/three_feng/article/details/53432496
版权
cURL可以使用URL的语法模拟浏览器来传输数据, 因为它是模拟浏览器,因此它同样支持多种协议:

FTP, FTPS, HTTP, HTTPS, GOPHER, TELNET, DICT, FILE 以及 LDAP等协议都可以很好的支持。

在开发中经常会使用curl来获取网络资源,可能会带来两方面的问题:

1、SSRF,通过请求来分析内网架构,并进行攻击。

2、文件读取,使用file协议来读取本地文件。例如:file:///etc/passwd。


修复:

使用 parse_url 来解析 url

1、限制请求的域名。

2、限制请求的协议(这一点经常会忘记)。


three_feng
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP使用CURLphp curl详细解析和常见大坑
ld17822307870的博客
02-08 259
这篇文章主要介绍了PHP使用CURLphp curl详细解析和常见大坑 ,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧 七夕啦,作为开发,妹子没得撩就“撩”下服务器吧,妹子有得撩的同学那就左拥妹子右抱服务器吧,况且妹子是要礼物的,服务器又不用。好啦,长话短说再长说,祭出今天的工具——CURL(Client URL Library),当然今天以PHP的方式来使用这件工具。 0. curl是个什么东西 PHP supports libcurl, a library create.
CURL 简单使用
09-07 118
PHPCURL和你的安全! 2014年6月5日 歪脖骇客 5条评论 9 简介 不应该做的事情 应该怎样做 简介 如果最近你在美国看电视,你会经常看到一个广告——一个和蔼友善的家伙说“我希望我的电脑被病毒感染”,“我希望所有我家的照片都被人删除,找不回来。”或“我希望我的笔记本运转的声音听起来像打雷。” 当然,没有一...
PHPCURL和你的安全!
CCxiaotang的博客
01-20 511
不应该做的事情   下面是一个列表,解释了什么不该做,以及为什么。 这是外表美味可口巧克力,里面却藏着恶魔。它的意思是“去http://www.webhek.com网站,取回页面内容,运行这些内容,不论是什么内容。”如果是像下面的这些内容到无所谓: b>Hello Worldb> 但是,如果你不那么幸运,这个网站被人动过手脚,它的内容被替换成: Evil ruuLzzzzo
注意!开源命令行工具Curl 存在严重漏洞
smellycat000的专栏
10-09 830
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长...
php curl超时的优缺点,在PHP设置Curl的超时
weixin_29332867的博客
03-09 196
有一种怪癖可能与某些人有关.来自PHP文档注释。如果您希望在不到1秒内使卷曲超时,则可以使用CURLOPT_TIMEOUT_MS,尽管在“类Unix系统”上有一个bug/“Feature”,如果值小于1000 ms,就会导致libcurl超时,并出现错误“curl Error(28):timeout”。对这种行为的解释是:“如果libcurl是为使用标准的系统名称解析器而构建的,则传输的这一部分仍...
PHP-CURL在POST请求时的注意事项
weixin_33699914的博客
06-01 110
今天搞12306抢票, 在用CURL模拟POST请求校验验证码时, 无论如何12306都返回零, 正常应该返回True或者False, 最后查找原因如下   只是请求头 Content-Type 用了 application/x-www-form-urlencoded, 但是验证码值(类似坐标"xxx,yyy")没有用urlencode转码   注意事项:   1.CURL的POST请求方...
php使用curl访问https示例分享
12-19
- 当`$CA`为假时,`CURLOPT_SSL_VERIFYPEER`被设置为false,意味着不验证服务器证书,这可能带来安全风险。`CURLOPT_SSL_VERIFYHOST`设置为1,只检查证书是否存在一个域名,但不验证它是否与目标URL匹配。 在实际...
phpcurl实现http与https请求的方法
12-19
PHP开发cURL库是一个非常强大的工具,它允许开发者通过HTTP协议发送各种请求,包括HTTP和...不过,请注意,忽略SSL验证虽然可以简化调试过程,但在生产环境可能会带来安全风险,因此建议始终验证服务器的证书。
php curl登陆qq后获取用户信息时证书错误
10-24
只有在完全理解禁用证书验证可能带来的安全风险,以及确认在当前环境下该风险是可接受的,才可以采用临时禁用证书验证的方法。在生产环境,始终应当使用有效、可信的SSL证书,并确保客户端代码对证书进行适当的...
php curl 长连接的实现
04-09
PHP开发cURL库是一个非常重要的工具,它用于处理HTTP和其他协议的请求。当涉及到频繁的HTTP通信,如API调用或者内部服务交互时,使用cURL的长连接功能可以显著提升性能。本文将深入探讨如何在PHP利用cURL...
可兼容php5与php7的cURL文件上传功能实例分析
10-18
CURLFile类是PHPcURL文件上传提供的一个新特性,它可以安全地上传文件,避免了使用“@”前缀可能带来的安全风险。当类存在时,可以创建一个CURLFile实例并作为cURL POST字段的一部分。这在实例通过创建一个...
php curl超时的优缺点,php使用curl设置超时的重要性
weixin_42123296的博客
03-09 100
WebForm---登陆状态保持(Cookies内置对象)登录状态保持: 首先做一个登录界面,点击 登录按钮 protected void Page_Load(object sender, EventArgs e) { Button1.Click += Bu ...【转+分析】JAVA: 为什么要使用"抽象类&quo...
php curl ssrf,ssrf漏洞学习(PHP)
weixin_29963537的博客
03-16 1533
自己最近原本是想深入的学习一下关于xss、csrf的东西的,可是感觉这些东西需要有很好的js的基础来进行学习。。还有感觉自己感觉也差不多该要学习内网渗透了。。正好ssrf在内网这一块也是比较有用的。于是现在学习一下。我这里面是以php里面的curl为例子来学习的。漏洞代码如下$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_GET['url']);...
踩坑系列之 phpcurl
咖啡色的羊驼
05-05 844
前言今天,准确的说是前几天,对接其他部门的的接口,于是乎调了前人封装的curl的函数。奇怪的是:用post的方式curl进行请求竟然一直报错,而用命令curl -d “parms” url是可以成功的。难道“祖传”的curl函数用错了??正文原因的排查由于命令行可以,而调用函数不行,导致十分奇怪。 可能的原因: 1.参数或url错了,少了个s什么的-----对过之后排除了 2.难道封装的cu
PHP CURL 的几点注意事项
larance的挨踢生活
09-06 337
1、字符转义 1. +  URL +号表示空格 %2B  2. 空格 URL的空格可以用+号或者编码 %20  3. /  分隔目录和子目录 %2F   4. ?  分隔实际的 URL 和参数 %3F   5. % 指定特殊字符 %25   6. # 表示书签 %23   7. & URL 指定的参数间的分隔符 %26   8. = URL 指定参数的值 %3D 2、模拟COO...
php curl详细解析和常见大坑
weixin_30695195的博客
02-10 192
1. 拿来先试试手 比如我们以著名的“测试网络是否连接”的网站——百度为例,来尝试下curl <?php // create curl resource $ch = curl_init(); // set url curl_setopt($ch, CURLOPT_URL, "baidu.com"); //return the t...
Web安全之服务端请求伪造漏洞
qq_52358808的博客
09-26 1945
服务端请求伪造(SSRF)漏洞 SSRF(server-side request forgery,服务端请求伪造),是一种由攻击者构造形成由服务器端发起请求的一种漏洞。从客户端发起一个请求到服务端,服务端再向另外的服务端发起请求的过程称之为服务器端请求。让服务器去请求你通常请求不到的东西。一般用来在外网探测或攻击内网服务。 常见类型 有回显:从页面可以看到返回内容。 无回显:无法从页面看到返回内容。 SSFRF漏洞1.原理1.1.成因1.2.场景1.3.相关函数2.利用3.危害4.防御 1.原理 .
物流物流物流物流物流物流物流物流
最新发布
09-09
物流物流物流物流物流物流物流物流
PHPcURL的详细使用教程
CurlPHP的使用主要通过`curl_setopt()`函数进行配置。该函数接受三个参数:一个CURL句柄(`$ch`)、一个设置选项(`$option`)和该选项对应的值(`$value`)。以下是文档提到的一些关键选项: 1. `CURLOPT_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值