天涯论坛

 找回密码
 立即注册
搜索
查看: 81|回复: 2

PHP代码审计入门:平常的危险函数和审计点

[复制链接]

3027

主题

210

回帖

9777万

积分

论坛元老

Rank: 8Rank: 8

积分
97779022
发表于 2024-7-11 18:27:15 | 显示全部楼层 |阅读模式

01什么是危险函数

函数设计出来便是让人运用的,之因此危险,是由于其功能过于强大.研发人员尤其是刚从业的人员很少会完整阅读完全部文档,再认识到当给这些函数传递有些非常规的,外边可控的参数会带来什么影响,因此踩坑的几率非常大.

因此在进行代码审计的时候,比较多的部分都是在审计调用这些危险函数的时候,参数是不是外边可控的.有进行正确的过滤.

02 PHP危险函数5大特征

2.1 能够执行任意代码的函数有三种:

第1种是最平常的,会把传入的字符串当作php代码直接执行
第2种是经过引入文件执行php代码,php里引入文件执行代码的仅有4个函数
第3种是有些数据处理函数,它们存在支持回调函数类型的参数,这个参数能够传入函数的字符串名叫作,一旦这个参数可控,那样可能导致漏洞,这些函数的特征非常显著,参数类型是callback形式,审计的基本上便是她们的回调函数是不是用字符串的形式传递,是不是可控,在PHP里存在海量的这种函数,这儿只举5个比较平常




上一篇:深入探索:主流低代码研发平台的应用场景及研发流程
下一篇:怎么样学习代码审计?
回复

使用道具 举报

0

主题

1万

回帖

1

积分

新手上路

Rank: 1

积分
1
发表于 2024-8-24 11:39:18 | 显示全部楼层
你字句如珍珠,我珍藏这份情。
回复

使用道具 举报

3069

主题

3万

回帖

9915万

积分

论坛元老

Rank: 8Rank: 8

积分
99158935
发表于 2024-10-5 13:21:23 | 显示全部楼层
太棒了、厉害、为你打call、点赞、非常精彩等。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点统计|Archiver|手机版|小黑屋|天涯论坛 ( 非经营性网站 )|网站地图

GMT+8, 2024-11-22 18:16 , Processed in 0.111980 second(s), 21 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.