偵測

超出 PHP 輸入變數

medium Web App Scanning Plugin ID 114322

語系:

概要

超出 PHP 輸入變數

說明

根據預設,PHP 在一個要求中最多可接受 1000 個變數。如果輸入變數多於指定數,則會發出 E_WARNING。此外,視伺服器設定和應用程式程式碼而定,要求中的多餘輸入變數會被截斷,這可能會造成多種影響,例如繞過函式呼叫。

解決方案

停用所有通知、警告和錯誤顯示。將應用程式設定為在檔案中記錄此類訊息。程式碼審查也是必要措施,可檢查此問題可能對應用程式造成的影響。

另請參閱

https://hackmd.io/@terjanq/justCTF2020-writeups#Baby-CSP-web-6-solves-406-points

https://www.php.net/manual/en/info.configuration.php#ini.max-input-vars

https://x.com/pilvar222/status/1784618120902005070

Plugin 詳細資訊

嚴重性: Medium

ID: 114322

類型: remote

已發布: 2024/6/26

已更新: 2024/6/26

掃描範本: api, basic, full, pci, scan

風險資訊

VPR

風險因素: Low

分數: 3.9

CVSS v2

風險因素: Medium

基本分數: 5

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Medium

基本分數: 5.3

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVSS 評分資料來源: Tenable

參考資訊