这种免费源码 , 以PHP居多 。第三网上劣质php源码最多 。什么的dedeCMS , 什么xxshop , xxmall , 微盟 , 这里垃圾PHP源码简直是千疮百孔 , 漏洞百出 。php是动态执行的 , 源码可以直接被执行 , 而Java则需要编译 。用这类垃圾源码最的网站 , 随便一个中学生捣鼓捣鼓就能入侵 , 简直和裸奔没啥区别 。
为什么现在web渗透 , 都用的是php写的源码?
第一PHP语言本身漏洞相当多 , 尤其是很多人不喜欢用最新版本 , 现在PHP8都发布了 , 现在竟然还有一大批人用PHP5.2 , 越早的版本漏洞越多 。漏洞多自然就好做渗透 。第二 PHP web框架漏洞也非常多 。国内最常用的PHP框架 thinkphp经常爆出各种严重漏洞 , 比如5.x的远程可执行命令漏洞 , 导致大量使用此框架的网站中招 。
这个漏洞利用之容易 , 做个程序可以随便感染一大批网站 。有的人利用这个漏洞拿到的肉鸡多到自己都数不过来 。反观Java web , 大多数人都会用sprint 全家桶 。而Spring MVC 和Spring security提供的安全认证 , 起安全性都是非常强的 。虽然Spring也出一些漏洞 , 但是我印象中还没有出过非常容易利用 , 非常简单就能拿到最高权限的傻瓜式漏洞 。
第三 网上劣质php源码最多 。很多人是根本不具备独立编程能力的 , 这些所谓的“程序员”最喜欢干的事是去网上下载各种免费源码 , 然后改吧改吧就算自己做了网站了 。这种免费源码 , 以PHP居多 。什么的dede CMS , 什么xxshop , xxmall , 微盟 , 这里垃圾PHP源码简直是千疮百孔 , 漏洞百出 。可以说是黑客们的最爱 。
用这类垃圾源码最的网站 , 随便一个中学生捣鼓捣鼓就能入侵 , 简直和裸奔没啥区别 。同时 , 会用这些垃圾代码做网站的程序员 , 一般水平都不会太高 , 按理说连编程入门都算不上 。这些所谓程序自然根本无法做到防止黑客入侵 。第四很多人安全意识太差 。不管你用什么语言做网站 , 大多都要在网站程序外在跑一个Nginx , apache , 或者IIS 。
即使使用Java , Nginx 做反向代理 静态处理 , 后面再加tomcat的构架也很多 。凡是 , 很多人要么是技术不到位 , 要么是偷懒 , 不去自己编译tomcat或者apache , 而是用网上现成的的一键安装包或者傻瓜安装程序 。这些程序可能会默认安装PHP支持 。也就是说 , 一些安全意识不强或者水平比较差的程序员编写的java web 很有可能也会支持PHP 。
很多人在入侵提权的时候 , 不管你是什么网站 , 都会先试一下PHP能不能执行 , 入侵几率比较高 。关于最后一个问题 , 如果你找到了Java web的漏洞 , 可以上传文件了 , 下一步要做的就是提权 。这个时候你直接上传Java源代码是没有用的 。php是动态执行的 , 源码可以直接被执行 , 而Java则需要编译 。拿到上传权限后想提权 , 就必须先弄清楚对方服务器的jre版本 , 然后再本地用相应的版本编译后 , 再把jar包传上去 , 才能够执行 。
元宇宙还没玩明白 , 美国已经开玩Web3了 , WEB3是什么?
推荐阅读
- 游戏手机也有路线之争,2019游戏手机性能排行榜
- 什么游戏带岩浆,单方块岩浆生存
- 神仙劫美人令怎么来,07073神仙劫网页游戏官网
- 万码游戏怎么样,规模排名增长速度
- 中文是什么意思,bug什么意思
- 奥比岛怎么发圣诞好友贺卡diy,回顾经典游戏之奥比岛
- qq游戏葫芦娃熊猫村怎么弄,跟7个葫芦娃兄弟一起巡个山
- 什么游戏玩有钱,有钱的女人玩什么游戏
- 新概念玩什么游戏,[方案]新概念英语课堂游戏100种
- 这些火爆全球的游戏,最近很火的游戏