PHP 의사 프로토콜
우선 CTF에서 접할 수 있는 파일 포함 기능을 이해해야 합니다.
1. include 2. require code> 3. include_once 4. require_once 5. highlight_file 6. show_source 7. 읽기 파일 code> include 2、require 3、include_once 4、require_once 5、highlight_file 6、show_source 7、readfile
8、file_get_contents 9、fopen 10、file
file_get_contents 9. fopen 10. file (더 일반적임) PHP 의사 프로토콜은 실제로 지원되는 프로토콜입니다. 캡슐화 프로토콜(12가지 유형) 사용
a.file:// — 로컬 파일 시스템에 액세스 b. http:// — HTTP(s) URL에 액세스 c — FTP에 액세스 URLd.php:// — 개별 입력/출력 스트림에 액세스(I/O 스트림) e.zlib:// — 압축된 스트림 f. 데이터(RFC 2397) g . glob:// — 일치하는 파일 경로 패턴 찾기 i.ssh2:// — RARk. // — 오디오 스트림l.exp:// — 대화형 스트림 처리1. 자를 필요가 없습니다
<?php include($_GET['file']) ?>
2. to truncate (php 버전 <?php
include($_GET['file'].'.php')
?>
file:// 프로토콜
file:// 프로토콜은 double off 의 경우에도 정상적으로 사용할 수 있습니다.allow_url_fopen: off/on
allow_url_include: off/on
file://은 로컬 파일 시스템에 액세스하는 데 사용되며 일반적으로 CTF에서 로컬 파일을 읽는 데 사용됩니다.
사용법: file://파일의 절대 경로 및 파일 이름입니다.예: http://127.0.0.1/cmd.php?file=file://D:/soft/phpStudy/WWW/phpcode.txt
php://protocol
php:/ /프로토콜 사용 조건:
1.allow_url_fopen
2.php://input, php://stdin, php://memory 및 php://temp를 설정할 필요가 없습니다. .
php://filter는 소스 코드를 읽는 데 사용되며 이중 꺼진 상황에서도 정상적으로 사용할 수 있습니다
allow_url_fopen: off/on (사용 조건)
allow_url_include: off/on
예: http://127.0.0.1/cmd.php?file=php://filter/read=convert.base64-encode/resource=index.php
php://input 요청의 원본 데이터만 스트림을 읽고 POST 요청의 데이터를 PHP 코드로 실행합니다.
allow_url_fopen: off/on
allow_url_include: on
예: http://127.0.0.1/cmd.php?file=php://input [POST DATA]
위 내용은 참고용입니다!
추천 튜토리얼:PHP 비디오 튜토리얼
위 내용은 PHP 의사 프로토콜이란 무엇입니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
산과 기본 데이터베이스 : 차이 및 각각을 사용 해야하는시기.Mar 26, 2025 pm 04:19 PM이 기사는 산 및 기본 데이터베이스 모델을 비교하여 특성과 적절한 사용 사례를 자세히 설명합니다. 산은 금융 및 전자 상거래 애플리케이션에 적합한 데이터 무결성 및 일관성을 우선시하는 반면 Base는 가용성 및
PHP 보안 파일 업로드 : 파일 관련 취약점 방지.Mar 26, 2025 pm 04:18 PM이 기사는 코드 주입과 같은 취약점을 방지하기 위해 PHP 파일 업로드 보안에 대해 설명합니다. 파일 유형 유효성 검증, 보안 저장 및 오류 처리에 중점을 두어 응용 프로그램 보안을 향상시킵니다.
PHP 입력 유효성 검증 : 모범 사례.Mar 26, 2025 pm 04:17 PM기사는 내장 함수 사용, 화이트리스트 접근 방식 및 서버 측 유효성 검사와 같은 기술에 중점을 둔 보안을 향상시키기 위해 PHP 입력 유효성 검증에 대한 모범 사례를 논의합니다.
PHP API 요율 제한 : 구현 전략.Mar 26, 2025 pm 04:16 PM이 기사는 토큰 버킷 및 누출 된 버킷과 같은 알고리즘을 포함하여 PHP에서 API 요율 제한을 구현하고 Symfony/Rate-Limiter와 같은 라이브러리 사용 전략에 대해 설명합니다. 또한 모니터링, 동적 조정 요율 제한 및 손도 다룹니다.
PHP 비밀번호 해싱 : password_hash 및 password_verify.Mar 26, 2025 pm 04:15 PM이 기사에서는 PHP에서 암호를 보호하기 위해 PHP에서 Password_hash 및 Password_Verify 사용의 이점에 대해 설명합니다. 주요 주장은 이러한 기능이 자동 소금 생성, 강한 해싱 알고리즘 및 Secur를 통해 암호 보호를 향상 시킨다는 것입니다.
OWASP Top 10 PHP : 일반적인 취약점을 설명하고 완화하십시오.Mar 26, 2025 pm 04:13 PM이 기사는 PHP 및 완화 전략의 OWASP Top 10 취약점에 대해 설명합니다. 주요 문제에는 PHP 응용 프로그램을 모니터링하고 보호하기위한 권장 도구가 포함 된 주입, 인증 파손 및 XSS가 포함됩니다.
PHP XSS 예방 : XSS로부터 보호하는 방법.Mar 26, 2025 pm 04:12 PM이 기사는 PHP의 XSS 공격을 방지하기위한 전략, 입력 소독, 출력 인코딩 및 보안 향상 라이브러리 및 프레임 워크 사용에 중점을 둔 전략에 대해 설명합니다.
PHP 인터페이스 대 추상 클래스 : 각각을 사용할 때.Mar 26, 2025 pm 04:11 PM이 기사는 각각의 사용시기에 중점을 둔 PHP의 인터페이스 및 추상 클래스 사용에 대해 설명합니다. 인터페이스는 관련없는 클래스 및 다중 상속에 적합한 구현없이 계약을 정의합니다. 초록 클래스는 일반적인 기능을 제공합니다
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
PhpStorm 맥 버전
최신(2018.2.1) 전문 PHP 통합 개발 도구
SublimeText3 영어 버전
권장 사항: Win 버전, 코드 프롬프트 지원!
SecList
SecLists는 최고의 보안 테스터의 동반자입니다. 보안 평가 시 자주 사용되는 다양한 유형의 목록을 한 곳에 모아 놓은 것입니다. SecLists는 보안 테스터에게 필요할 수 있는 모든 목록을 편리하게 제공하여 보안 테스트를 더욱 효율적이고 생산적으로 만드는 데 도움이 됩니다. 목록 유형에는 사용자 이름, 비밀번호, URL, 퍼징 페이로드, 민감한 데이터 패턴, 웹 셸 등이 포함됩니다. 테스터는 이 저장소를 새로운 테스트 시스템으로 간단히 가져올 수 있으며 필요한 모든 유형의 목록에 액세스할 수 있습니다.
ZendStudio 13.5.1 맥
강력한 PHP 통합 개발 환경
