为什么现在web渗透,都用的是php写的源码

第一 PHP语言本身漏洞相当多,尤其是很多人不喜欢用最新版本,现在PHP8都发布了,现在竟然还有一大批人用PHP5.2, 越早的版本漏洞越多。 漏洞多自然就好做渗透。

第二 PHP web框架漏洞也非常多。 国内最常用的PHP框架 thinkphp经常爆出各种严重漏洞,比如5.x的远程可执行命令漏洞,导致大量使用此框架的网站中招。 这个漏洞利用之容易,做个程序可以随便感染一大批网站。 有的人利用这个漏洞拿到的肉鸡多到自己都数不过来。

反观Java web, 大多数人都会用sprint 全家桶。 而Spring MVC 和Spring security提供的安全认证,起安全性都是非常强的。

虽然Spring也出一些漏洞,但是我印象中还没有出过非常容易利用,非常简单就能拿到最高权限的傻瓜式漏洞。

第三 网上劣质php源码最多。 很多人是根本不具备独立编程能力的,这些所谓的“程序员”最喜欢干的事是去网上下载各种免费源码,然后改吧改吧就算自己做了网站了。

这种免费源码,以PHP居多。什么的dede CMS,什么xxshop,xxmall,微盟, 这里垃圾PHP源码简直是千疮百孔,漏洞百出。可以说是黑客们的最爱。 用这类垃圾源码最的网站,随便一个中学生捣鼓捣鼓就能入侵, 简直和裸奔没啥区别。

同时,会用这些垃圾代码做网站的程序员,一般水平都不会太高,按理说连编程入门都算不上。这些所谓程序自然根本无法做到防止黑客入侵。

第四 很多人安全意识太差。 不管你用什么语言做网站,大多都要在网站程序外在跑一个Nginx,apache,或者IIS。 即使使用Java, Nginx 做反向代理+静态处理,后面再加tomcat的构架也很多。

凡是,很多人要么是技术不到位,要么是偷懒,不去自己编译tomcat或者apache,而是用网上现成的的一键安装包或者傻瓜安装程序。这些程序可能会默认安装PHP支持。

也就是说,一些安全意识不强或者水平比较差的程序员编写的java web 很有可能也会支持PHP。

很多人在入侵提权的时候,不管你是什么网站,都会先试一下PHP能不能执行,入侵几率比较高。

关于最后一个问题, 如果你找到了Java web的漏洞,可以上传文件了, 下一步要做的就是提权。这个时候你直接上传Java源代码是没有用的。 php是动态执行的,源码可以直接被执行,而Java则需要编译。

拿到上传权限后想提权,就必须先弄清楚对方服务器的jre版本,然后再本地用相应的版本编译后,再把jar包传上去,才能够执行。

这里还有一个不同,一般php提权,只需要拿到网站根目录的上传权限即可。 但是Java web 很有可能网站的根目录,和存放可执行jar包的目录不是一个目录,想要执行Java代码,你就必须想法拿到jar包所在目录的上传权限(同时也要拿到网站根目录权限),这是一个难点。

web渗透包含的东西比较多,php是用来写网站后端用的,这只是在网站的web服务其中一方面。我看你只针对web服务提问,而web服务除了php外,python,java,go以及nginx和apache本身的缺陷导致的漏洞都是提权的利用范围,例如nginx的提权漏洞CVE-2016-1247。
所以并不是web渗透都利用php的源码来做,特别是渗透目标不是用php来开发的时候。
可能网上材料多是用php来做例子,这是因为php作为专门写网站的语言且在这块做得好,有市场,开发容易,同时国内开发的环境不好导致漏洞多,而且php程序默认在响应头暴露自己是php。例如,说到论坛容易想起的是discuz,说到在线商城容易想起的是某某shop,说到微信电商容易想起的是某擎。所谓树大招风,导致sql注入和提权被研究得多。
顺便说下,这和php语言本身没有必然联系。java等语言开发人员搞不好也是会有这些问题的。

原创文章,作者:普尔小编,如若转载,请注明出处:http://www.puerpx.cn/pxwd/34.html

(0)
上一篇 2022-04-10 下午4:51
下一篇 2022-04-10 下午4:52

相关推荐

  • 西安日本留学中介:去日本留学,有什么好的中介推荐

    你好,关于去日本留学,有什么大学推荐? 1、首先明确自己的目的:如果留学是为了深造,在学业方面更上一层楼,并且扩大学术界的人脉,那么名校的金字招牌当然是最重要的。如果只是想得到一个…

    培训问答 2022-04-13
  • 什么运动避免肌营养不良(肌营养不良应该做哪些运动)

    你好 肌营养不良对人体的伤害最大,不仅对肌肉功能有很大的损伤,严重的时候可能还会影响个人的整体协调能力。所以大家要掌握一些有效的锻炼方法,帮助自己尽快恢复。希望大家能够在锻炼的过程…

    培训问答 2023-06-14
  • 动漫产业的前景怎么样

    ——以下数据和分析参考前瞻产业研究院发布的《中国动漫产业发展前景预测投资战略规划分析报告》。 动漫行业产值扩大,00后、95后为消费主力 中国动漫的发展起步较早,1926年万氏兄弟…

    2023-02-23
  • seo怎么优化

    我们一般把SEO 分四个阶段来分级 SEO实习生能力要求 1、收集家装行业信息进行筛选整理加工和编排,具有伪原创的整合能力; 2、负责网站栏目的内容更新及维护,增加网站的内容和提高…

    2022-11-19
  • 曲黎敏是怎样的一个人

    一说曲黎敏,很多人就会把它和,徐文斌,倪海夏联系在一起。 曲黎敏女1964年生,山东日照人,现常住北京。 北京中医药大学硕士生导师,中医药基础学院人文系主任。 大家最先接触到曲黎敏…

    2023-01-23
  • 学网页设计有前途吗

    在国外,网页设计(web designer)这个工种国内的那种理解已经基本消失了,绝大多数的的“设计”,是“二次设计”。 我知道不少小孩会觉得这太危言耸听,在你想开口侮辱人之前,请…

    培训问答 2022-11-23
  • 整形医疗机构处罚条例(淄博壹美移植眉毛专业吗)

    这个事件,我还没有具体了解,但是整形美容行业,什么微整形,真是太乱了啊! 脸上,身上动刀子,打针,你说它是不是医疗行业的范畴?是不是必须要有医师资格证才能操作上岗?是不是要接受最严…

    2023-04-26
  • 北京英语口语培训:英语口语培训哪个培训机构好

    去哪个英语培训机构学习口语最有效?自然是能够让你频繁开口表达的教学方式,以前大家只能到线下的小班面授课里面报班学习,七八个人在一起学,一个老师代课,现在看来这种学习方式显然起到理想…

    2022-04-14
  • 日语小白怎么学日语,日语小白怎么学日语呀

    现状:日语小白,姑且算是N5水平吧! 目标:能和日本人进行日常交流。 对策:你说的日常交流是偏书面还是口语? 提问中没有明确写出来,所以我就都做下解答。 偏书面的情况,应该是工作中…

    培训问答 2022-12-24
  • 锻炼口才,怎样锻炼口才和语言表达能力

    老鬼完全站在实用主义的角度和大家分享一些让口才训练效率快速提升的思路与方法! 说明:口才的训练与提升,首先是思路方法的正确!!!——之后才是手段、技巧!如果思路与方法都错了,那就是…

    2022-11-03

发表回复

登录后才能评论