手机浏览 RSS 2.0 订阅 膘叔的简单人生 , 腾讯云RDS购买 | 超便宜的Vultr , 注册 | 登陆
浏览模式: 标准 | 列表2010年07月13日的文章

杂谈:Zend Studio 惊爆严重安全漏洞,系国内黑客首先发现

Submitted by gouki on 2010, July 13, 8:30 AM

我是在cnbeta上看到这个新闻的,不过看到这个新闻后我也有疑问,这真的算是BUG吗?还是。。。要知道注释这个东西,本来就是允许你写上html代码让你在生成DOC的时候可以以特定的格式进行输出
不过,文中所说的内容,想来应该确实算是漏洞,但我本身都是在使用zend了,还有什么不可以使用系统变量或者权限呢?随便说说。。
只是看到这个的时候,我不知道phpdoc会怎么样,他会有同样的漏洞吗?他根据图片中的注释,会生成弹出计算器的doc文档吗??

新闻如下:
著名安全从业人员Saiy于2010年7月10日在安全网站80vul.com发布了Zend Studio的安全漏洞。 通过这个漏洞,可以在操作系统中执行任意命令。 在Zend Studio 6.0以上版本中,如果开发者开启了自动提示的功能,那么在一份存在问题的工程文件里(可能是别有用心者提供的),开发者就很可能触发这个漏洞,以执行他 人指定的代码。 文章中进行了案例演示。代码中定义了一个名为A的函数,那么只要在编辑区域输入A即触发此函数,此函数启动了 Windows系统中自带的计算器软件,那么同理,它可以启动任何一个软件,也可以执行任意其他的命令…… 目前Zend公司还没有对此安全漏洞作出任何反应。 建议相关开发者关闭自动提示的功能。
大小: 122.17 K 尺寸: 500 x 282 浏览: 1797 次 点击打开新窗口浏览全图
原文地址(英文): http://80vul.com/Zend%20studio/Zend%20studio%20location%20Cross.htm

Tags: php, zend, zendstudio

Software | 评论:0 | 阅读:19053

高级PHP应用程序漏洞审核技术

Submitted by gouki on 2010, July 13, 8:25 AM

不管是初学者还是老鸟,了解一下会有很多好处,比如里面介绍的,从URL传递global变量,比如5.26前的mt_rand的BUG等等。比如urldecode处理%2527会变成单引号,比如。。。实在太多了,或许程序真的没问题,但有问题的可能是PHP自己。
了解一下,可以让代码中更少漏洞吧?

原文很长,我这里也只是把目录贴一下,如果你真的有兴趣,不妨去看看全文

如果你有自己的想法,也可以尝试提交你的建议到该项目中去

Tags: 漏洞, 代码审核

PHP | 评论:0 | 阅读:16249