Тестирование методов машинного обучения


е. Подключение локальных файлов



Download 490,09 Kb.
Pdf ko'rish
bet7/16
Sana01.07.2022
Hajmi490,09 Kb.
#725561
1   2   3   4   5   6   7   8   9   10   ...   16
Bog'liq
2019-04-13

е. Подключение локальных файлов
В языке программировании PHP имеет ко-
манды include, require, include_once, require_
one, которые позволяют текущему файлу вы-
зывать другой файл, которые являются средой 
рождения LFI уязвимости. LFI-уязвимости 
(Local File Inclusion) позволяют злоумышлен-
никам подключать внутренние файлы на сер-
вере, например, файлы: passwd, php.ini, access_
log, ... (знать конфиденциальную информа-
цию) в зависимости от уровня безопасности 
сервера. Причиной этой ошибки является то, 
что при использовании вышеуказанных ко-
манд программист снова вызывает файл для 
открытия через переменную.
Эти переменные либо еще не инициали-
зированы, либо определяются пользователем. 
Ошибки LFI часто связаны с ошибками загруз-
ки. Злоумышленник загружает файл, содер-
жащий код php на сервере, не обязательно тип 
файла .php. Затем злоумышленник использует 
LFI-уязвимость, чтобы прочитать содержимое 
загруженного файла. Когда сервер читает эти 
файлы, при обнаружении php-кода эти коды 
выполняются и, таким образом, реализуются 
намерения злоумышленника.
Для защиты веб-приложений, написан-
ных на языке программирования PHP, про-
граммисту надо ограничить использование 
переменных в функциях (
include
и 
require
), 
если они используются, то эти переменные 
полностью и правильно объявлены. 
ё. Внедрение внешних сущностей XML
Как известно, PHP является распростра-
ненным интерпретируемым языком обще-
го назначения с открытым исходным кодом. 
Уязвимость была обнаружена во встроенных 
классах PHP SoapClient и SoapServer. В PHP 
разрешены внешние сущности при обработке 
SOAP wsdl-документов, что позволяет атаку-
ющему читать произвольные файлы.
ж. Загрузка произвольных файлов
Уровень опасности этой уязвимости очень 
высок. В системе “eXtreme File Hosting” уязви-
мость позволяет удаленному пользователю 
выполнить произвольный PHP сценарий на 
целевой системе. Уязвимость существует из-
за ошибки при обработке загружаемых фай-
лов, содержащих несколько расширений.
Данная уязвимость может привести к вы-
полнению произвольного кода и/или отказу в 
обслуживании.

Download 490,09 Kb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8   9   10   ...   16



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish