web常见攻击二——命令注入攻击(Command Injection Execution)

前面我介绍了暴力破解攻击(Brute Force), 那只是web攻击中最常见的一种,今天我介绍下命令注入攻击。

 

所谓的web命令攻击就是系统都用户输入的数据没有进行严格的过滤就使用,从而给黑客朋友留下了可乘之机。

对于web命令攻击我就不过多的介绍了,我给两个介绍web命令攻击的链接吧。

英文的 https://www.owasp.org/index.php/Testing_for_Command_Injection_(OWASP-DV-013)

中文的 http://www.2cto.com/Article/201208/146517.html

一 、 下面我们来看一下很危险的代码。

web命令攻击

web命令攻击-不安全的代码

这段代码没有对数据进行任何过滤就直接使用,是很危险的。比如用户输入的不是正常的ip(hh.kk.lll.ii),这段代码就惨烈了。

二、下面这段代码就对数据进行了初级过滤,我们来看一下。

web命令攻击-中等安全的代码

web命令攻击-中等安全的代码

我们看到这段代码用str_replace函数对ip进行了过滤,就是吧非法字符替换成了空字符。可是处理不了这种情况,ee.ee.ee.ee

str_replace函数介绍

三、下面我们来看安全的代码

web命令攻击-安全的代码

web命令攻击-安全的代码

这段代码验证了所获得ip是否是数字组成的,而且全面非法ip执行,是最安全的代码。

stripslaches函数的使用

explode函数的使用

stristr函数使用

shell_exec函数使用


JackSun

JackSun

I'm a coder.

You may also like...

5 Responses

  1. JackSun 孙大宝 says:

    我来做沙发吧 哈哈

  2. 店小二 says:

    毛啊 没看懂。。。

  1. 2013年11月28日

    […] 原文地址web常见攻击二——命令注入攻击(Command Injection Execution) […]

  2. 2013年11月28日

    […] 原文地址   web常见攻击二——命令注入攻击(Command Injection Execution) […]

  3. 2013年12月1日

    […] 命令注入攻击(Command Injection Execution) […]

Leave a Reply

Your email address will not be published.