 |
  |
|
| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | | ||||
 |
|
|||||||
|
||||||||
|
|||||
| php第三方编码转换类安全警告 | |||||
作者:80sec 文章来源:80sec 点击数: 更新时间:2008-8-6  |
|||||
|
漏洞厂商:众多第三方编码转换类 漏洞解析: 编码转换类在系统存在iconv等函数的时候会选择iconv函数,但是如果系统不存在iconv或者不支持多字节编码转换的情况下,编码转换类会自己实现对编码的转换。在这里由于系统iconv在进行utf8编码转换时会严格遵守约定,对于不合法的数据将进行抛弃处理,而某些第三方编码类则会进行强行的转换,如一个非法的utf8字节如0xc15c27将被转换为0×808027或其他类似处理,这将导致其绕过程序的addslashes等安全保护,譬如恶意用户提交0xc127,经过php安全处理后将变成0xc15c27,然后经过转码后将成为0×808027,导致安全防护失败,导致安全漏洞。 漏洞证明及修复: Phpwind官方补丁:http://www.phpwind.net/read-htm-tid-643202.html Discuz!官方补丁:http://www.discuz.net/thread-1008182-1-1.html 80sec提醒使用编码转换类的厂商和程序及时检查自己的安全设置,可以通过对进行转码后的数据再次安全处理来修复这个问题,如果有iconv的支持则尽量使用iconv模块而不要自己实现编码。 本站内容均为原创,转载请务必保留署名与链接! php第三方编码转换类安全警告:http://www.80sec.com/php-coder-class-security-alert.html |
|||||
| 文章录入:空虚浪子心 责任编辑:空虚浪子心 | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
| 最新热点 | 最新推荐 | 相关文章 | ||
| 没有相关文章 |
 网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
 |
|
| 关于我们 - 版权声明 - 帮助(?) - 广告服务 - 联系我们 - 友情链接 - 用户注册 - | Powered by ICE RIVER - STUDIO |
|
|
| » CnXHacker.CoM |  |
© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved. |
