【发布时间】:2011-04-28 14:35:26
【问题描述】:
CODE_DESC: "这个可通过网络访问的脚本将在扫描可用的 PHP 配置变量和函数以查找常见的漏洞利用向量后列出安全建议。"
SOURCE_CODE:
如果运行此 PHP 会损害/修改/等我的系统吗?
【问题讨论】:
【发布时间】:2011-04-28 14:35:26
【问题描述】:
您应该设置一个测试服务器来运行它。基本上,您应该切勿针对您的生产设置运行未知的、不受信任的第三方代码。
【讨论】:
-
@andymism: 不针对生产服务器运行它。你看代码了吗?
我看了代码
基本上它是通过一堆 php 命令/函数/类运行并查看它们返回的内容
我过去曾运行过这样的脚本;它基本上检查 php.ini 和不同版本的 php 的完整性
这不应该是有害的,但在运行别人的代码时要小心。
如果您对安全测试感兴趣,http://www.owasp.org/index.php/Main_Page 是一个很好的资源。我在 PCI 和 ISO 测试中多次使用他们的资源。他们有许多面向 PHP / mysql 等的工具......
【讨论】:
-
@Mario: 谢谢!我也看过它,至少它让我思考如何使用 PHP 来分析系统的攻击向量。 +1 链接,owasp 是一个很好的资源,好几年没看他们的网站了... :-)