首页 > 网络安全 > php空字节的一个tips

php空字节的一个tips

2008年6月23日 发表评论 阅读评论

Post by amxku


晚上给SEbug装个论坛,整了半天源码总是直接显示出来了,找了半天发现有个文件里存在非法字符。

和 Helvin 测试了下,发现在php中插入0x00可以让php不解析,过滤不严的话,就可以直接让他显示源代码。非程序错误跳出,是解释器没有执行。可能在PHP看来只是一个正常的错误,他认为请求了错误内存地址。
未命名.jpg 大小: 3.64 K 尺寸: 230 x 102 浏览: 11 次 点击打开新窗口浏览全图

在网上找了一下php关于Null Byte Character的漏洞真不少。测试一下,发现GET是没有影响的,那就没价值了。php处理字串的代码好几M呢,懒得去看也不一定能看得明白。有兴趣的朋友可以跟一下。

转载请注明:woyigui's blog [http://www.woyigui.cn/]
本文标题:php空字节的一个tips
本文地址:http://www.woyigui.cn/2008/06/23/php-empty-bytes-of-a-tips/

分类: 网络安全 标签:
  1. 本文目前尚无任何评论.
  1. 本文目前尚无任何 trackbacks 和 pingbacks.
*