>
遠端代碼是使用者通過瀏覽器提交執行命令,由於伺服器端沒有針對執行函式做過濾,導致在沒有指定絕對路徑的情況下就執行命令,可能會允許攻擊者通過改變$PATH或程式執行環境的其他方面來執行一個惡意構造的程式碼。
由於開發人員編寫原始碼,沒有針對程式碼中可執行的特殊函式入口做過濾,導致客戶端可以提交惡意構造語句提交,並交由伺服器端執行。命令注入攻擊中WEB伺服器沒有過濾類似system(),eval(),exec()等函式是該漏洞攻擊成功的最主要原因。
圖文推薦
