攻击者会发送什么样的漏洞;php://input"?
我的网站刚刚遭到试图通过的攻击者的轰炸”php://input“输入他们能想到的任何GET/POST变量。如果这是试图利用一个漏洞,我不知道它。该用户可能试图利用什么?可能是对php输入进行评估的任何人攻击者会发送什么样的漏洞;php://input"?,php,security,Php,Security,我的网站刚刚遭到试图通过的攻击者的轰炸”php://input“输入他们能想到的任何GET/POST变量。如果这是试图利用一个漏洞,我不知道它。该用户可能试图利用什么?可能是对php输入进行评估的任何人 $data = file_get_contents('php://input'); eval($data); 我个人并没有看到过这种情况,但我敢打赌有人在某个时候做过,认为这可能是安全的。 php://input 从传入请求读取数据。基本上,攻击者可能要做的是通过“php://input“转换
$data = file_get_contents('php://input');
eval($data);
include $_REQUEST['filename'];
这将允许攻击者发送php文件的“内容”以通过请求执行,从而允许他在您的机器上执行php代码这可能是试图强制对通过原始请求数据传递的php代码进行评估,但似乎有点希望。我不认为“php://”是一个协议。。。这是合法的还是攻击者插入的垃圾字符串?@fructedWithFormsDesigner:
php://input