我的网站刚被攻击者试图将“php:// input”传递给他们能想到的任何GET / POST变量。如果这是试图利用漏洞,我不知道它。这个用户可以尝试利用什么?
答案 0 :(得分:9)
http://www.owasp.org/index.php/Top_10_2007-Malicious_File_Execution
php://输入从传入请求中读取数据。基本上,攻击者可能会尝试将“php:// input”传递给弱php指令,例如:
include $_REQUEST['filename'];
它允许攻击者通过请求发送php文件的“内容”来执行,从而允许他在你的机器上执行php代码
答案 1 :(得分:2)
也许有人在php输入上运行eval?
$data = file_get_contents('php://input');
eval($data);
我个人没有亲眼见过,但我打赌有人在某种程度上认为它可能是安全的。
答案 2 :(得分:1)
这可能是为了强制评估通过原始请求数据传递的PHP代码 - 虽然看起来有点希望。