漏洞关键字:
SQL 注入:
select insert update mysql_query mysqli 等
文件上传:
$_FILES,type="file",上传,move_uploaded_file()等
XSS 跨站:
print print_r echo sprintf die var_dump var_export 等
文件包含:
include include_once require require_once 等
代码执行:
eval assert preg_replace call_user_func call_user_func_array 等
命令执行:
system exec shell_exec `` passthru pcntl_exec popen proc_open
变量覆盖:
extract() parse_str() importrequestvariables() $$等
反序列化:
serialize() unserialize() __construct __destruct 等
其他漏洞:
unlink() file_get_contents() show_source() file() fopen()等
通用关键字:
$_GET,$_POST,$_REQUEST,$_FILES,$_SERVER 等
功能点或关键字分析可能存在漏洞
抓包或搜索关键字找到代码出处及对应文件
追踪过滤或接受的数据函数,寻找触发此函数或代码的地方进行触发测试
代码审计-PHP项目类RCE及文件包含下载删除
最新推荐文章于 2024-05-15 16:51:25 发布