当前位置:首页 > 建站优化 > 正文内容

为什么现在web渗透,都用的是php写的源码?

zhuangbi888.com2021-10-06 22:20建站优化13

第一 PHP语言本身漏洞相当多,尤其是很多人不喜欢用最新版本,现在PHP8都发布了,现在竟然还有一大批人用PHP5.2, 越早的版本漏洞越多。 漏洞多自然就好做渗透。

第二 PHP web框架漏洞也非常多。 国内最常用的PHP框架 thinkphp经常爆出各种严重漏洞,比如5.x的远程可执行命令漏洞,导致大量使用此框架的网站中招。 这个漏洞利用之容易,做个程序可以随便感染一大批网站。 有的人利用这个漏洞拿到的肉鸡多到自己都数不过来。

反观Java web, 大多数人都会用sprint 全家桶。 而Spring MVC 和Spring security提供的安全认证,起安全性都是非常强的。

虽然Spring也出一些漏洞,但是我印象中还没有出过非常容易利用,非常简单就能拿到最高权限的傻瓜式漏洞。

第三 网上劣质php源码最多。 很多人是根本不具备独立编程能力的,这些所谓的“程序员”最喜欢干的事是去网上下载各种免费源码,然后改吧改吧就算自己做了网站了。

这种免费源码,以PHP居多。什么的dede CMS,什么xxshop,xxmall,微盟, 这里垃圾PHP源码简直是千疮百孔,漏洞百出。可以说是黑客们的最爱。 用这类垃圾源码最的网站,随便一个中学生捣鼓捣鼓就能入侵, 简直和裸奔没啥区别。

同时,会用这些垃圾代码做网站的程序员,一般水平都不会太高,按理说连编程入门都算不上。这些所谓程序自然根本无法做到防止黑客入侵。

第四 很多人安全意识太差。 不管你用什么语言做网站,大多都要在网站程序外在跑一个Nginx,apache,或者IIS。 即使使用Java, Nginx 做反向代理+静态处理,后面再加tomcat的构架也很多。

凡是,很多人要么是技术不到位,要么是偷懒,不去自己编译tomcat或者apache,而是用网上现成的的一键安装包或者傻瓜安装程序。这些程序可能会默认安装PHP支持。

也就是说,一些安全意识不强或者水平比较差的程序员编写的java web 很有可能也会支持PHP。

很多人在入侵提权的时候,不管你是什么网站,都会先试一下PHP能不能执行,入侵几率比较高。

关于最后一个问题, 如果你找到了Java web的漏洞,可以上传文件了, 下一步要做的就是提权。这个时候你直接上传Java源代码是没有用的。 php是动态执行的,源码可以直接被执行,而Java则需要编译。

拿到上传权限后想提权,就必须先弄清楚对方服务器的jre版本,然后再本地用相应的版本编译后,再把jar包传上去,才能够执行。

这里还有一个不同,一般php提权,只需要拿到网站根目录的上传权限即可。 但是Java web 很有可能网站的根目录,和存放可执行jar包的目录不是一个目录,想要执行Java代码,你就必须想法拿到jar包所在目录的上传权限(同时也要拿到网站根目录权限),这是一个难点。

相关文章

网站目录权限设置(网站目录权限管理文件名)

网站目录权限设置(网站目录权限管理文件名)

1、首先,我们打开文件根目录,比如D盘mingdengsoft这个文件夹,点击需要设置权限的文件夹,比如我们可以右击data文件夹,点属性 2、Windows下网站目录777可读写权限设置方法 上方的...

网站被非法篡改怎么办(进入网站被篡改怎么办)

网站被非法篡改怎么办(进入网站被篡改怎么办)

该页面可能已被非法篡改,可能存在下列问题: 1、钓鱼: 钓鱼是指页面仿冒某知名网站,让用户以为是正规网站,给用户造成损失。 2、违规内容: 内容存在违法信息,或者出于违法的灰色地带。 3、欺诈: 页...

如何优化网站排名搜行者SEO(如何让网站排名上升)

如何优化网站排名搜行者SEO(如何让网站排名上升)

网站优化不是一句两句就能说清楚的,所有网站的优化基本都是一样的。网站的优化是一个长期的过程,短则几个月,长则好几年。下面介绍几点常用的方法,仅供参考: 关键词的选择 首页网站在你建立的时候,就应该将...

广州有哪些网站建设公司?

广州有哪些网站建设公司?

  网站建设是指使用标识语言(markup language),通过一系列设计、建模、和执行的过程将电子格式的信息通过互联网传输,最终以图形用户界面(GUI)的形式被用户所浏览。简单说,网页设计的目的...

怎么制作网站建站帮助(免费建站的网站有哪些)

怎么制作网站建站帮助(免费建站的网站有哪些)

族蚂网建站采用拖拽式建站,了解了基本的建站过程,不用10分钟就能轻松搭建出网站,不懂编程代码的小白也是可以用的。 要做网站的话 最快的方法是用cms自动生成,简单快捷 常用的cms有织梦,discu...

公司网站的开发策略(进公司网站,网页会弹出来)

公司网站的开发策略(进公司网站,网页会弹出来)

建立自己公司的网站方法如下: 1、域名主机需要根据网站主题及范围来选择,主机则根据网站在大小、安全、稳定上的要求选择网络服务商 2、网站的定位(定位于营利性网站,企业网站,或是公益性的……) 3、网站...

网站地图怎么生成(thinkphp生成网站地图)

网站地图怎么生成(thinkphp生成网站地图)

一个称之为好的域名,必定有其一定价值,通过价值判断,也必定有其规律: 1、主流后缀。一般都以com为主,国内还有cn可以玩。 2、够短。字符越少,越值钱,三字符以内,以后永远值钱,除非域名不存在。...

自己的域名可以绑定淘宝店铺(哪个域名可以进入淘宝规则频道)

自己的域名可以绑定淘宝店铺(哪个域名可以进入淘宝规则频道)

刚注册的淘宝店,系统会给你自动生成一个网站,不过这个网站的链接与店铺没啥关联,而且不便于别人搜索,跟我这样操作,教你修改你的店铺网址。 第一步:登录淘宝后台,进入到淘宝后台首页; 第二步:在左侧导航栏...

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。