PHP Code Injection

PHP Code Injection

PHP Code Injection은 PHP Code를 삽입하여 공격하는 것이다.

eval() 함수는 파라미터로 들어온 값(string)을 php코드로 인식하여 실행하게 해주는 아주 위험한 함수이다. system() 함수를 이용하여 "/etc/passwd"파일을 가져왔다. 이처럼 다양한 코드를 실행 할 수 있게해주는 인젝션이다.

PHP Injection은 GET parameter , Post Data , Cookie , HTTP Header부분에서 Injection할 수 있다. 

phpinfo()를 사용해서 php의 version정보와 같은 각종 다양한 정보를 알 수 있다.