标签:
代码执行是指攻击者通过浏览器或者其他客户端软件提交一些用户自己构造的php代码至服务器程序,服务器程序通过eval、assert、reg_replace等函数执行用户提交的php代码。
其实,我们平时所见到的SQL注入、xss等漏洞都是代码执行漏洞。
测试代码:
<?php
$a = $_GET[‘a‘];
eval ($a);
//assert ($a);
?>
开启Firefox,输入:http://localhost:81/code_exec.php?a=phpinfo%28%29
Webserver返回如下信息:
看到了吗:我们提交的php代码phpinfo()已经被eval函数成功解析了
标签:
原文地址:http://www.cnblogs.com/windclouds/p/5413211.html
