首页 » 安全知识库 » WEB安全原理 » 命令执行 » 正文

命令执行(OS Commanding)攻击

名称:命令执行攻击(OS Commanding)

描述:系统提供命令执行类函数主要方便处理相关应用场景的功能。而当不合理的使用这类函数,同时调用的变量未考虑安全因素,就会执行恶意的命令调用,被攻击利用。

修复方案:
1、尽量避免使用可以系统命令执行函数。
2、因其危险性,执行命令的参数不要使用外部获取,防止用户构造。
3、设置PHP.ini配置文件中safe_mode = Off选项。默认为(off)。
4、使用自定义函数或函数库来替代外部命令的功能。
5、使用escapeshellarg函数来处理命令参数。
6、使用safe_mode_exec_dir指定可执行文件的路径。

腾讯社区wiki:

http://wiki.open.qq.com/wiki/

发表评论