Web的基本漏洞--代码执行漏洞RCE

已于 2023-07-03 16:12:06 修改
阅读量473 收藏
点赞数
分类专栏: 信息安全 文章标签: 安全 web安全
于 2023-05-31 21:58:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62421736/article/details/130977806
版权

目录

一、代码执行漏洞的介绍

1.代码执行漏洞的原理

2.常用含有的代码执行漏洞的函数

3.代码执行漏洞的危害

4.代码执行漏洞的防范措施 

一、代码执行漏洞的介绍

1.代码执行漏洞的原理

web应用程序是指程序员在代码中使用了一些执行函数例如php的eval,assert等函数,用户可以控制这个字符串去这些函数中执行,从而造成安全漏洞

应用程序在调用一些能够将字符串转换为代码的函数(如 PHP 中的 eval )时,没有考虑用户是否控制这
个字符串,将造成代码执行漏洞。大部分都是根据源代码判断代码执行漏洞。

2.常用含有的代码执行漏洞的函数

eval()

assert()

call_user_func()

call_user_func_array()

3.代码执行漏洞的危害

  • 执行任意的代码,例如协议脚本文件
  • 向网站写入webshell
  • 控制整个网站或者服务器

4.代码执行漏洞的防范措施 

代码执行的防御分为三个方面 参数 , 函数 和 权限

  1. 对于eval()函数一定要保证用户不能轻易接触eval的参数或者用正 则严格判断输入的数据格式。
  2. 对于字符串一定要使用单引号包裹可控代码,并且插入前进行 addslashes().或使用黑白名单校验
  3. 对于preg_replace放弃使用e修饰符。如果必须要用e修饰符,请 保证第二个参数中,对于正则匹配出的对象,用单引号包裹。
  4. 限制Web用户的权限
  5. 禁用或减少使用执行代码的函数
尽欢i
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
任意代码执行漏洞
LJH1999ZN的博客
02-23 3013
一、什么是任意代码执行漏洞 web应用程序是指程序员在代码中使用了一些执行函数例如eval,assert等函数,用户可以控制这个字符串去这些函数中执行,从而造成安全漏洞 二、漏洞的危害 执行任意的代码,例如协议脚本文件 向网站写入webshell 控制整个网站或者服务器 三、任意代码执行漏洞 1.eval()函数 ...
代码执行漏洞
jxy158212的博客
02-17 250
应用程序在调用一些能够将字符串转换为代码的函数(如PHP中的eval)时,没有考虑用户是否控制这个字符串,将造成代码执行漏洞。远程代码执行实际上就是调用服务器网站代码进行执行代码执行漏洞是指应用程序本身过滤不严,用户可以通过请求将代码注入到应用中执行
log4j2远程代码执行漏洞原理及复现
最新发布
m0_57967573的博客
04-29 605
log4j2 框架下的 lookup 查询服务提供了 {} 字段解析功能,传进去的值会被直接解析。例如 ${java:version} 会被替换为对应的 java 版本。这样如果不对 lookup 的出栈进行限制,就有可能让查询指向任何服务
命令执行_代码执行漏洞
xlvbys的博客
07-28 109
远程代码注入漏洞 原理 攻击者可利用代码注入漏洞执行任意代码,来操作服务器
代码与命令执行漏洞
m0_62619269的博客
05-30 556
RCE介绍 全称:remote command/code execute分为远程命令执行和远程代码执行 命令执行漏洞: 直接调用操作系统命令 代码执行漏洞: 靠执行脚本代码调用操作系统命令 在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 p
第30天:WEB漏洞-RCE代码及命令执行漏洞全解1
08-03
WEB 漏洞-RCE 代码及命令执行漏洞全解在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将
Struts2-RCE:Burp Extender用于检查struts 2 RCE漏洞
04-15
描述此burp扩展有助于识别struts2 Web应用程序中的Struts2远程代码执行漏洞。 此Burp扩展程序检测以下18个RCE,它们是S2-001 S2-007 S2-008 S2-012 S2-013 S2-014 S2-015 S2-016 S2-019 S2-029 S2-032 S2-033 S2-037...
xalanjava源码-jackspoilt:导致RCE的上下文反序列化漏洞-远程代码执行
06-05
漏洞利用:为DeSerializaiton漏洞制作小工具/利用的源代码 攻击脚本:其他 shell 脚本,用于在应用程序服务上引发正常和恶意请求 我怎样才能使用它? 启动 shell 提示(启动易受攻击的 Web 实例) git 克隆 cd 困境 ...
web应用漏洞.docx
07-05
一、远程代码执行漏洞 1. ADOBE ColdFusion Java RMI 反序列化 RCE 漏洞:攻击者可以通过该漏洞执行任意代码。 2. BEESCMS admin/login.php SQL 注入漏洞:攻击者可以通过该漏洞执行任意 SQL 语句。 3. Discuz X2.5...
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
然而,在 ThinkPHP 5.0.0 到 5.0.23 版本中存在一个 Remote Code Execution(RCE漏洞,该漏洞允许攻击者在服务器上执行任意代码。 该漏洞是由于 ThinkPHP 的路由机制存在缺陷,攻击者可以通过构造特殊的 URL 来...
第十一天任意代码执行漏洞
代码审计
03-16 1478
这里写目录标题一级目录二级目录三级目录 一级目录 二级目录 三级目录 在Web应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用eval函数(PHP函数)去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞代码执行 和 命令执行 代码执行 后端语言执行 php java .net nodejs 命令执行 调用系统接口 面试喜欢问 代码执行常见的函数 代码执行各函数之间的特点 代码执行如何修复 bypass disable fu nctiO
任意代码执行漏洞简介
18年3月萌新白帽子
06-24 6478
一、任意代码执行漏洞思维导图:代码执行漏洞的成因:应用程序在调用一些能够将字符串转换为代码的函数(例如php中的eval中),没有考虑用户是否控制这个字符串,将造成代码执行漏洞代码执行漏洞的常用函数PHP:eval,assert,preg_replace()+/e 模式Javascript:evalVbscript:Execute、EvalPython: execJava: Java中没有类似p...
web漏洞之远程命令/代码执行
qq_56438857的博客
07-30 880
总结了常见的远程命令/代码执行漏洞的相关知识点。主要包括管道符,远程代码执行和远程系统命令执行
命令执行代码执行漏洞原理
Spontaneous_0的博客
03-16 405
命令执行代码执行漏洞原理
命令执行漏洞
supermeatboy223的博客
03-01 7531
命令执行定义 基本定义 命令执行漏洞是指攻击者可以随意执行系统命令,分为远程命令执行(远程代码执行)和系统命令执行两类。 原理 程序应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec.passthru、popen、proc_popen等,当用户能控制这些函数中的参数时,就可以将恶意系统命令拼接到正常命令中,从而造成命令执行攻击。 命令执行条件 两个条件 1.用户能够控制的函数输入 2.存在可以执行代码或者系统命令的危险函数 命令执行漏洞产生的原因..
远程代码执行渗透与攻防(一)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-29 1955
远程代码执行漏洞RCE,也叫任意代码执行),是由用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致执行了服务器的命令。RCE漏洞的造成方式有很多种,一旦可以执行任意命令,就可以执行任意操作,属于高危漏洞
php代码执行漏洞的危害,代码执行漏洞
weixin_42097508的博客
03-19 1027
代码执行当应用在调用一些能将字符转化为代码的函数(如PHP中的eval)时,没有考虑用户是否能控制这个字符串,这就会造成代码执行漏洞。相关函数PHP:eval assertPython:execasp:Java:没有类似函数,但采用的反射机制和各种基于反射机制的表达式引擎(OGNL、SpEL、MVEL等)有类似功能phpcms中的string2array函数这个函数可以将phpcms的数据库set...
iis远程代码执行漏洞
05-15
远程代码执行漏洞(Remote Code Execution,RCE)是指攻击者可以通过远程方式在目标服务器上执行任意代码,从而控制受害者服务器。IIS远程代码执行漏洞是指攻击者可以通过HTTP或FTP等协议向IIS服务器发送恶意请求,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值