早上就收到阿里云的警告,说这个是木马....
求帮忙看看..金币致谢 感谢了
<?php
include "./common.php";
if (!isset($_GET['name'])) {
die("missing name");
}
// trigger auth
$vcnt = xcache_count(XC_TYPE_VAR);
xcache_admin_namespace();
$name = $_GET['name'];
if (!empty($config['enable_eval'])) {
eval('$name = ' . $name . ';');
}
if ($_SERVER['REQUEST_METHOD'] == 'POST') {
if (!empty($config['enable_eval'])) {
eval('$value = ' . $_POST['value'] . ';');
}
else {
$value = $_POST['value'];
}
xcache_set($name, $value);
header("Location: ./?do=listvar");
exit;
}
$value = xcache_get($name);
if (!empty($config['enable_eval'])) {
$value = var_export($value, true);
$editable = true;
}
else {
if (is_string($value)) {
$editable = true;
}
else {
$editable = false;
$value = var_export($value, true);
}
}
include "edit.tpl.php";
1
mht 2017-12-30 07:19:26 +08:00 via iPhone 1
往这个页面 post 东西就能执行代码了,你说呢?木马可能说不上,但是肯定是漏洞,eval 这种函数不应该用。
|
2
crab 2017-12-30 07:23:16 +08:00 1
|
3
Arnie97 2017-12-30 07:33:52 +08:00 via Android 1
木马不会这么大摇大摆的,估计作者水平不行…
|
4
dangyuluo 2017-12-30 11:15:58 +08:00 1
估计不是后门,是编写人员技术不行,居然光明正大 eval get 来的参数
|
5
sdpfoue 2017-12-30 12:58:53 +08:00 1
现在有些码畜真的要逆天 素质差的一比
|
6
WordTian 2017-12-30 13:17:41 +08:00 via iPhone 1
只能说开发人员没安全意识
|
7
hcymk2 2017-12-30 13:28:35 +08:00 1
代码安全意识其实就和行人过马路是否看红绿灯一样。
|