3
在PHP中,可以通過$_GET,$_POST,$_COOKIE的輸入進行遠程文件包含。我知道這是不可能的,但是有可能(有可能)僞造$_SERVER的價值嗎?
我的意思是,即使在罕見的情況下,$_SERVER也可以成爲遠程文件包含的來源嗎?
A
回答
3
$ _SERVER是用來訪問請求的路徑,標頭等等
甲數的值被直接設置和由用戶(如QUERY_STRING)操縱,因此它在潛在的易受攻擊含陣列信息與$ _GET和$ _POST完全一樣。這取決於你如何在你自己的代碼中使用這些值。
您是否有具體的索引$ _SERVER記住您不想僞造?
1
是的,可以操縱$ _SERVER中的一些值。
然而,LFI依賴於攻擊者能夠注入要執行的代碼的引用和讓PHP執行該代碼。除非您打算忽略每個請求中發送的URL以外的所有內容(即,您正在運行一個靜態網站),否則您將更加關注如何調用變量引用的代碼。
相關問題
- 1. $ _SERVER ['SERVER_NAME']是僞造/僞造的嗎?
- 2. $ argv可以僞造成php嗎?
- 3. $ _SERVER ['REMOTE_ADDR']可僞造成任意字符串嗎?
- 4. 可以僞造document.referrer嗎?
- 5. PayPal IPN Notificaiton POST可以僞造嗎?
- 6. 在內部網中僞造$ _SERVER ['REMOTE_ADDR']?
- 7. $ _SERVER ['REQUEST_SCHEME']可靠嗎?
- 8. 僞造WPF鼠標懸停可能嗎?
- 9. $ _SERVER ['REMOTE_USER']可以被欺騙嗎?
- 10. 我們可以用php cURL來欺騙$ _SERVER ['REMOTE_ADDR']/user ip嗎?
- 11. PHP $ _SERVER ['HTTP_HOST']轉義,這看起來可以接受嗎?
- 12. 登錄安全:我可以信任php的$ _SERVER ['REMOTE_ADDR']嗎?
- 13. CSRF - 僞造的POST可以包含任意數據嗎?
- 14. 我可以在Ruby測試中僞造調用方法嗎?
- 15. Json Web令牌可以僞造或模擬嗎?
- 16. 可以使用僞造的mov eax,esi嗎?
- 17. 僞造一幅畫布 - 可以工作嗎?
- 18. 可以僞造頭部數據(websocket)?
- 19. 可以將facebook的$ _REQUEST [「signed_request」]僞造
- 20. 會話是否可以僞造?
- 21. 是否可以僞造一個PHP會話ID?
- 22. $ _SERVER ['REQUEST_METHOD']仍然可行嗎?
- 23. 僞造網站集成
- 24. C#:有可能在服務中生成或僞造可視化樹嗎?
- 25. 僞造MS交換whith php
- 26. PHP上僞造的IMAP
- 27. CSS僞類可以命名空間嗎?
- 28. 有人可以幫我僞代碼嗎?
- 29. PHP:$ _SERVER ['REDIRECT_URL'] vs $ _SERVER ['REQUEST_URI']
- 30. node.js可以與php集成嗎?
可能重複[哪些$ _SERVER變量是安全的?](http://stackoverflow.com/questions/6474783/which-server-variables-are-safe) – rook 2012-01-10 15:52:32