關(guān)于PHP輸入驗(yàn)證安全漏洞的示例分析

這期內(nèi)容當(dāng)中小編將會給大家?guī)碛嘘P(guān)關(guān)于PHP輸入驗(yàn)證安全漏洞的示例分析，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

近日，國家信息安全漏洞庫（CNNVD）收到關(guān)于PHP輸入驗(yàn)證安全漏洞（CNNVD-201805-054、CVE-2018-10547 ）情況的報送。成功利用漏洞的攻擊者，可在用戶不知情的情況下，在該用戶瀏覽器中執(zhí)行任意代碼。PHP 5.6.36之前的版本，7.0.27之前的7.0.x版本，7.1.13之前的7.1.x版本，7.2.1之前的7.2.x等版本均受漏洞影響。目前，PHP官方已經(jīng)發(fā)布新版本修復(fù)了該漏洞，建議用戶及時確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。

一、漏洞介紹

PHP（PHP：Hypertext Preprocessor，PHP：超文本預(yù)處理器）是PHP Group和開放源代碼社區(qū)共同維護(hù)的一種開源的通用計算機(jī)腳本語言。該語言主要用于Web開發(fā)，支持多種數(shù)據(jù)庫及操作系統(tǒng)。

PHP中的PHAR 404和PHAR 403錯誤頁面存在輸入驗(yàn)證安全漏洞，該漏洞源于程序沒有過濾用戶的輸入，通過URI地址訪問PHAR程序觸發(fā)404或403錯誤后，可以執(zhí)行反射性跨站腳本攻擊，進(jìn)而通過用戶瀏覽器，執(zhí)行任意代碼。

二、危害影響

利用該漏洞，攻擊者可以進(jìn)行劫持用戶瀏覽器會話、植入傳播惡意代碼等網(wǎng)絡(luò)攻擊，可能會造成用戶賬號被盜取、用戶隱私泄露等危害。該漏洞涉及了多個版本，PHP 5.6.36之前的版本，7.0.27之前的7.0.x版本，7.1.13之前的7.1.x版本，7.2.1之前的7.2.x版本均受漏洞影響。

三、修復(fù)建議

目前，PHP官方已經(jīng)發(fā)布新版本修復(fù)了該漏洞，建議用戶及時確認(rèn)是否受到漏洞影響，盡快采取修補(bǔ)措施。具體措施如下：

建議所有PHP5.6用戶更新到5.6.36、PHP7.0用戶更新到7.0.30、PHP7.1用戶更新到7.1.17、PHP7.2用戶更新到7.2.5。

上述就是小編為大家分享的關(guān)于PHP輸入驗(yàn)證安全漏洞的示例分析了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注億速云行業(yè)資訊頻道。