漏洞描述
代码注入是指由于服务端代码漏洞导致恶意用户输入在服务端被执行的一种高危安全漏洞。
漏洞危害
利用该漏洞,可以在服务器上执行攻击者拼装的代码。
修复建议
严格检查控制程序的参数。
修复实例参考
ASP漏洞示例:
- <%
- ' 期待输入sub.asp
- execute request("include")
- %>
ASP修复范例
- <%
- <!--#include file="sub.asp"-->
- %>
PHP漏洞示例
- <%php
- $myvar = "varname";
- $x = $_GET['arg'];
- eval("\$myvar = \$x;");
- %>
PHP修复范例
- <%php
- $myvar = "varname";
- $x = $_GET['arg'];
- $myvar = $x;
- %>
