2017.3.6 总结
今天学习了PHP的代码审计,根据学习的提示,要找一个register_globals 这个全局变量,设置成on,自己在php.ini上找了很久。。没有找到,然后进行百度郁闷的发现register_globals这个函数在5.3的时候已经去了,而我用的是phpStudy-5.4.45。在学习的过程中遇到了很多的问题,还好也学到了不少的知识,比如在做PHP代码审计的时候或者在做安检的时候要打开错误信息的控制,也要设置错误报告的级别!具体函数display_error = on
error_reporting = E_ALL,魔术引号也自5.3.0起废弃并自PHP 5.4.0起移除了,是否打开远程文件的函数是allow_url_fopen = xx 是否包含远程文件的函数是
allow_url_include = xx 如果开启了允许包含远程文件,可能会导致文件包涵漏洞!!还有一些是 用户访问目录限制 open_basedir = .:/xx/ 这样能够控制PHP的脚本只能访问指定的目录,避免访问到不该访问的目录,一定程度上限制了phpshell 的危害。。就写到这里 太累了,明天还得上课
posted on 2017-03-06 22:59 呆呆呆呆呆呆呆呆呆呆 阅读(162) 评论(0) 编辑 收藏 举报