本人信息安全初学者。请问为什么说这种程序危害很大、可以完全控制程序行为?外部可控到底什么意思?假如我是黑客,我可以怎么对这个漏洞进行攻击?求大佬详解,感激不尽。
1条回答 默认 最新
猫叔大鸭梨 2021-03-14 23:59关注外部参数可以随意输入,怎么想都很危险吧。就像你截图里的代码,不输入2个参数的话就直接宕机了。
本回答被题主选为最佳回答 , 对您是否有帮助呢?评论 打赏解决 1无用举报
分享
- 2022-04-14 15:35DXfighting_的博客 ①严格判断包含中的参数是否外部可控,因为文件包含漏洞利用成功与否的关键点就在于被包含的文件是否可被外部控制; ②路径限制:限制被包含的文件只能在某一文件内,一定要禁止目录跳转字符,如:“../”; ③...
- 2025-12-19 15:17认真写程序的强哥的博客 远程代码执行(RCE)漏洞:黑客的"遥控器" RCE漏洞让黑客能远程控制目标系统执行任意命令,就像拿到你家的遥控器一样危险。当应用程序未过滤用户输入就直接执行系统命令时(如PHP的exec()或Python的os....
- 2025-10-30 17:17-曾牛的博客 掌握XML的DTD与实体机制是理解XXE的基础,而禁用外部实体加载和过滤恶意内容则是防护的核心手段。在实际开发中,应始终保持“不信任用户输入”的原则,对XML解析器进行严格配置,避免因疏忽导致安全漏洞。同时,安全...
- 2024-01-30 13:57ice-blue-z的博客 文件上传漏洞、web安全
- 2025-03-18 11:29白帽黑客艾登的博客 - 从命令打开管道 subprocess.call() - 执行命令 Java中的风险点 Java的设计使得直接执行字符串形式的代码比较困难,但它有其他风险点: **反序列化漏洞:**Java中最著名的RCE风险来自不安全的反序列化操作。...
- 2022-10-25 07:00大风呼呼的的博客 因为最近做的靶机关于XXE漏洞,这里简单写一下什么是XXE漏洞,自己理解的东西,一来方便自己经常回顾,二来对还没有接触过XXE漏洞的朋友来说也比较友好
- 可控参数分析关注于代码中可能被外部控制的参数,这些参数若处理不当,容易成为攻击者利用的入口,如SQL注入、命令注入等。通过分析代码中对这些参数的处理逻辑,审计工具可以标示出不安全的处理方式,从而指导...
- 2025-03-11 08:56承悦不会玩的博客 本文章主要用于分享SSRF及失效的访问控制漏洞基础学习请大家结合参考其他文章中的相关信息进行归纳和补充。 通过portswigger靶场加深学习体会。
- 2024-06-24 23:57_sky123_的博客 DTD 可以在 XML 文档内部定义,也可以引用外部 DTD 文件。通过 DTD,可以定义元素、属性、实体和注释等。元素类型(Element Type):用于定义元素及其内容模型。属性列表类型(Attribute List Type):用于定义元素...
- 2024-10-22 21:28Lixin Zhang的博客 XXE 漏洞是指在 XML 解析过程中,由于对外部实体的不当处理,导致攻击者可以注入恶意的 XML 实体,从而可能读取敏感文件、执行命令、进行内网探测等操作。
- 没有解决我的问题, 去提问
