Funzioni nei linguaggi comuni lato server che vengono utilizzati per eseguire il codice [chiuso]

1

Voglio conoscere l'elenco delle funzioni utilizzate per valutare le stringhe da codificare. Ad esempio: in PHP abbiamo la funzione eval che valuta una stringa in codice PHP. L'input passato in eval senza filtro potrebbe essere utilizzato come esecuzione di codice remoto da parte di un utente / utente malintenzionato.

Quindi mi piacerebbe avere suggerimenti per aggiunte di tali funzioni per compilare un elenco di linguaggi di programmazione lato server comunemente usati? (Java, Python, PHP e Rails per iniziare)

Fondamentalmente il mio caso d'uso è di eseguire test di white box su piattaforme diverse, e voglio assicurarmi che non manchi alcuna funzione che potrebbe causare l'esecuzione di codice sul lato server.

    
posta bhartay 18.04.2016 - 08:34
fonte

1 risposta

2

Ranting secondario

Questo è un po 'ampio, e ci possono essere alcuni che sono sconosciuti al momento, ma di solito ci sono buone referenze là fuori se sei disposto a cercarli.

L'esecuzione del codice non è l'unico problema. Devi stare attento alle cose che portano all'esecuzione del codice.

Tuttavia, e come sempre, è importante studiare queste funzioni per vedere di cosa sono capaci, piuttosto che limitarsi a respingerle come una vulnerabilità, specialmente quando ci sono spesso usi legittimi per loro.

Come tester di penetrazione, il tuo compito è dimostrare che esiste una vulnerabilità creando una Prova di concetto, a meno che non sia evidentemente ovvia, come un'iniezione SQL.

Dammi la lista di tutti loro!

Vuoi elencarli tutti? Beh, non sono sicuro che abbiamo una lista del genere ... ma per quanto riguarda molti di loro?

  1. PHP - Funzioni PHP Exploitable
  2. Java - Exploitable Java Functions
  3. Python - Exploitable Python Functions
  4. Ruby on Rails Cheat Sheet
risposta data 18.04.2016 - 15:10
fonte

Leggi altre domande sui tag