分卷阅读48 (第2/3页)

的解析时是存在问题的，如果制作一个包含PHP木马的.zip文件插到网页的head区域，挂马就会变得很容易。

[193]Mild：……

[194]Pie：想和漂亮美眉聊天吗，快来狂爱聊天室，房间号13xxx……

[195]Season：……

[196]Mild：……是，是这样吗，教授？

[197]Afier：呃……咳！这太荒唐了，我的补丁不会有问题的！你的文件……啊，对，你的文件根本不会通过脚本环境的解析那一关，它会拦截下一切恶意程序！

[198]Octo：呵，这我知道，但如果上传的文件是无害的呢？

[199]Afier：什么意思？！

[200]Octo：先向网站上传一个内含PHP脚本的小文件，它隐蔽性好，而且本身没法在服务端被执行，也就不会对服务器造成任何伤害，所以相应地就不会被拦截，它只是“先头部队”，用来隐性地改变PHP环境。

[201]Afier：然，然后呢……？

[202]Octo：搭好了桥，我们的大部队就可以开进了——这时候只要在正常的网址后面加上一个/t.php语句，Nginx就会把接下来上传的任何文件，包括真正的木马，全部作为PHP运行——webshell也就是囊中之物了。

帖子发出后，整个楼陷入了彻底的寂静，一种难以言喻的气氛蔓延开来，所有人都沉默了，有些人或许还在云里雾里，但是更多的人，却已经淌出一身冷汗。如果真的有黑客用这种二段式的方法潜入进来……没有人拦得住，不，是没有人想过会受到这种攻击，所以根本不曾想过能够拦住，这方面的防御，简直是……一片空白啊。

——这将会是一场噩梦，Lee花费巨大心血构建的巴别塔，一旦遭到这样的攻击，将会在一夜间毁于一旦，成为某些黑客眼中最大的成就，和，笑话。

寂静的帖子里，一些人手指下意识地按着刷新，良久，才有一个新的回帖出现在所有人的眼中。

[203]Viky：骗人！

众：？！<