FastCGI解析漏洞x1
WebServer Fastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让攻击者获得服务器的操作权限
文件包含漏洞x1
由于开发人员编写源码,将可重复使用的代码插入到单个的文件中,并在需要的时候将它们包含在特殊的功能代码文件中,然后包含文件中的代码会被解释执行。由于并没有针对代码中存在文件包含的函数入口做过滤,导致客户端可以提交恶意构造语句提交,并交由服务器端解释执行。攻击者通过客户端构造提交包含恶意代码的文件路径,造成服务端解释执行,可以包含webshell等恶意脚本,在一定的条件下还可能获取服务器的操作权限
阅读全文
收起全文
