Il mio sito è stato bombardato da un utente malintenzionato che cercava di passare "php: // input" a qualsiasi variabile GET/POST a cui potesse pensare. Se questo sta cercando di sfruttare una vulnerabilità, non ne sono consapevole. Cosa potrebbe tentare di sfruttare questo utente?Che tipo di vulnerabilità coinvolge l'attaccante che invia "php: // input"?
http://www.owasp.org/index.php/Top_10_2007-Malicious_File_Execution
php: // ingresso legge i dati dalla richiesta in arrivo. In sostanza, ciò che l'attaccante potrebbe tentare di fare è di passaggio "php: // input" in una direttiva php debole come:
include $_REQUEST['filename'];
Sarebbe consentire al malintenzionato di inviare i "contenuti" del file php per esegui tramite la richiesta, consentendogli così di eseguire il codice php sulla tua macchina
Questo è un po 'quello che pensavo, nella stessa maniera in cui l'account Twitter di Stephen Fry è stato violato (http://eng.xakep.ru/link/50643/). Abbastanza il modo strano di fare l'attacco, ma suppongo che la forzatura bruta sia più economica della forza del cervello. –
Forse qualcuno che esegue una valutazione su input php?
Non l'ho visto personalmente ma scommetto che qualcuno l'ha fatto a un certo punto pensando che potesse essere sicuro.
Questo è probabilmente un tentativo di forzare la valutazione del codice PHP passato attraverso dati di richiesta grezzi - sembra un po 'speranzoso.
Non pensavo che "php: //" fosse un protocollo ... è legittimo o solo una stringa di immondizia portata dall'attaccante? – FrustratedWithFormsDesigner
@FrustratedWithFormsDesigner: 'php: // input' è il flusso di input PHP. Vedi [qui] (http://php.net/manual/en/wrappers.php.php). – BoltClock