Mon site a été bombardé par un attaquant essayant de passer "php: // input" dans n'importe quelle variable GET/POST à laquelle ils pouvaient penser. Si cela tente de tirer parti d'une vulnérabilité, je ne le connais pas. Qu'est-ce que cet utilisateur pourrait essayer d'exploiter?Quelles sont les vulnérabilités impliquant l'attaquant envoyant "php: // input"?
http://www.owasp.org/index.php/Top_10_2007-Malicious_File_Execution
php: // input lit les données de la requête entrante. Au fond, ce que l'attaquant pourrait essayer de faire est pass « php: // entrée » dans une directive php faible comme:
include $_REQUEST['filename'];
Il permettrait à l'attaquant d'envoyer le « contenu » du fichier php exécuter via la requête, lui permettant ainsi d'exécuter du code php sur votre machine
C'est en quelque sorte ce que je pensais, à l'instar de la façon dont le compte Twitter de Stephen Fry a été piraté (http://eng.xakep.ru/link/50643/). C'est une façon plutôt étrange d'attaquer, mais je suppose que le forçage brutal est moins cher que le cerveau. –
Peut-être quelqu'un qui gère une entrée eval sur php?
$data = file_get_contents('php://input');
eval($data);
Je ne l'ai pas vu personnellement, mais je parie que certains l'ont fait à un moment donné en pensant qu'il pourrait être sûr.
Ceci est probablement une tentative de forcer l'évaluation du code PHP transmis à travers les données de requête brutes - semble un peu d'espoir cependant.
Je ne pensais pas que "php: //" était un protocole ... est-ce légitime ou juste une chaîne de caractères enfouie par l'attaquant? – FrustratedWithFormsDesigner
@FrustratedWithFormsDesigner: 'php: // input' est le flux d'entrée PHP. Voir [ici] (http://php.net/manual/fr/wrappers.php.php). – BoltClock