[PHP知识库]PHP常用框架及漏洞

PHP常用框架及漏洞

PHP框架

laraval介绍：

Laravel基于MVC架构，可以满足诸如事件处理、用户身份验证等各种需求，同时通过包管理实现模块化和可扩展的代码，并且对数据库管理有着健壮的支持。

漏洞：

??????? 1.? Laravel 配置文件泄露

??????? 2.? Laravel <= 8.4.2 存在远程代码执行漏洞

??????? 3.? Laravel 存在SQL注入漏洞

??????? 4.? Laravel 反序列化漏洞

CakePHP 介绍：

cakephp 是一个比较流行的PHP框架。类似其它语言的框架一样。（如java的hibernate框架）它的model层有一对多，多对一，多对多等关系。开发中在建表等数据层处理十分方便、快速开发(同样不用程序员写那些烦杂的关联链接的sql语句)。正是因为这些优点，它因此要付出代价。相对于其他PHP不采用框架的开发.cakephp 框架内部采用了大量的数组。

漏洞：

??????? 1.? Cake PHP XML外部实体漏洞

???????? 2.? Cake PHP XSS漏洞

???????? 3.? Cake PHP 安全绕过漏洞

Phalcon介绍：

Phalcon是Java的一个MVC漏洞

漏洞：（暂时没找到）

Symfony2介绍：

Symfony2是一个基于PHP语言的Web开发框架，有着开发速度快、性能高等特点。

漏洞：

??????? 1.? Symfony2? xss漏洞

??????? 2.? Symfony2? 远程安全漏洞

??????? 3.? Symfony2? 组件漏洞

??????? 4.? Symfony2? 探查器漏洞

CodeIgniter介绍：

CodeIgniter 是一个为用 PHP 编写网络应用程序的人员提供的工具包。它的目标是实现让你比从零开始编写代码更快速地开发项目，为此，CI 提供了一套丰富的类库来满足通常的任务需求，并且提供了一个简单的接口和逻辑结构来调用这些库。CodeIgniter 可以将需要完成的任务代码量最小化，这样你就可以把更多的精力放到项目的开发上了。

漏洞：

??????? 1.? CodeIgniter 反序列化漏洞

??????? 2.? CodeIgniter 加密对象注入漏洞

??????? 3.? CodeIgniter 任意代码执行漏洞

Yii 介绍：

Yii是一个高性能的PHP5的web应用程序开发框架。通过一个简单的命令行工具 yiic 可以快速创建一个web应用程序的代码框架，开发者可以在生成的代码框架基础上添加业务逻辑，以快速完成应用程序的开发。

漏洞：

??????? 1.? Yii 反序例化漏洞

Aura 介绍：

Aura 的主要目标是为 PHP 开发者提供一个高质量、可测试、标准化组件的框架。Aura 有相当大的一部分用户，使用方法和Cake PHP 类似。Aura 项目围绕着一系列高质量，经过良好测试，语义版本，符合标准的独立库包，可用于任何代码库。

漏洞：

??????? 1.? Aura 跨站请求漏洞

??????? 2.? Aura XSS漏洞

??????? 3.? Aura 绝对路径遍历漏洞

??????? 4.? Aura SQL注入漏洞

?? Zend介绍：

它是一个用于快速开发现代Web?应用程序的开源MVC框架。Zend Framework有几个松散耦合的组件，所以它被称为“组件库”。Zend Framework提供任何PHP堆栈和Zend服务器来运行Zend框架应用程序。

漏洞：

??????? 1.? Zend 任意文件读取漏洞

??????? 2.? Zend 远程代码执行漏洞

??????? 3.? Zend XML外部实体及身份绕过漏洞

Kohana介绍：

kohana 框架是一个相对比较小众的php框架 ，是有一个开源组织开发的mvc框架。

漏洞：

??????? 1.? Kohana 任意代码执行漏洞

??????? 2.? Kohana SQL注入漏洞

FuelPHP介绍：

Fuel PHP是一个基于PHP5.3的轻量级WEB开发框架。

漏洞：（暂时没找到）

? Slim 介绍：

Slim是一个PHP微框架，可以帮助您快速编写简单但功能强大的Web应用程序和API。

使用此框架应用程序快速设置并开始处理新的Slim Framework 3应用程序。此应用程序使用最新的Slim 3和PHP-View模板渲染器。它还使用Monolog记录器。

漏洞：

??????? 1.? Slim? XXE漏洞

Typo3介绍：

Typo3内容管理系统，是基于PHP4/PHP5+MYsql的内容管理系统(框架)(CMS/CMF),兼容PHP4和PHP5.数据库系统除Mysql之外，也能运行于Oracle, MS-SQL, ODBC, LDAP 等其它数据库系统，支持Typo3的服务器系统：Apache或者IIS架设的服务器。

漏洞：

??????? 1.? Typo3 反序例化漏洞

??????? 2.? Typo3 CMS 身份绕过漏洞

??????? 3.? Typo3? CMS SQL注入漏洞

??????? 4.? Typo3 跨站脚本漏洞

??????? 5.? Typo3? OpenlD Extension任意站点重定向漏洞

??????? 6.? Typo3 Extension Table Administration库数据库表修改漏洞

??????? 7. TYPO3 Form Content Element授权绕过信息泄露漏洞

??????? 8. TYPO3内容编辑向导权限检查漏洞

ThinkPHP 介绍：

ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP框架，ThinkPHP从诞生以来一直秉承简洁实用的设计原则，在保持出色的性能和至简的代码的同时，也注重易用性。并且拥有众多原创功能和特性，在社区团队的积极参与下，在易用性、扩展性和性能方面不断优化和改进。

漏洞：

??????? 1.? ThinkPHP2.x远程代码执行漏洞

??????? 2.? ThinkPHP3.2.3 SQL注入漏洞

??????? 3.? ThinkPHP3日志泄露

??????? 4.? ThinkPHP5.0.23远程代码执行漏洞

??????? 5.? ThinkPHP5.0.21远程命令执行漏洞

??????? 6.? ThinkPHP5.1.X SQL注入漏洞

??????? 7.? ThinkPHP6 SQL注入漏洞

Flight 介绍：

Flight是一个快速，简单，可扩展的微型PHP框架。

漏洞：（暂时没找到）

?PHPixie介绍：

PHPixie是一个轻量级的 MVC PHP 框架，设计用于快速开发，易于学习，并提供一个坚实的基础开发框架。这个框架源于Kohana 框架，兼容 MVC，能快速掌握，强大非常轻巧避免尽可能多的样板，尽可能减少你的web服务器的负载。

漏洞：（暂时没找到）

Yaf介绍：

Yaf，全称 Yet Another Framework，是一个C语言编写的PHP框架， 是一个以PHP扩展形式提供的PHP开发框架, 相比于一般的PHP框架, 它更快，更轻便. 它提供了Bootstrap, 路由, 分发, 视图, 插件, 是一个全功能的PHP框架。

漏洞：（暂时没找到）

Swoole介绍：

Swoole 使 PHP 开发人员可以编写高性能高并发的 TCP、UDP、Unix Socket、HTTP、 WebSocket 等服务，让 PHP 不再局限于 Web 领域。

漏洞：

??????? 1.? Swoole 内存泄露漏洞

Nette介绍：

Nette一个PHP框架。

漏洞：

??????? 1.? Nette未授权远程代码执行漏洞

Drupal 介绍：

Drupal 是用PHP语言写成的自由开源内容管理系统，常被视为内容管理框架，而非一般意义上的内容管理系统。 整套平台把所有内容视为一个“节点”，背后由大量“模块” 控制其显示、修改、排列、分类等方式。

漏洞：

??????? 1.? Drupal? 远程代码执行漏洞

??????? 2.? Drupal 7.31 SQL注入漏洞

??????? 3.? Drupal? 访问权限绕过漏洞

??????? 4. ?Drupal? 目录遍历漏洞

??????? 5. ?Drupal? 任意代码执行漏洞

Workerman介绍：

Workerman是一款开源高性能异步PHP socket框架。支持高并发，超高稳定性， 支持TCP长连接，支持Websocket、HTTP等协议，支持自定义协议。拥有异步Mysql、异步Redis、异步Http、MQTT物联网客户端、异步消息队列等众多高性能组件。????

漏洞：（暂时没找到）

PHPDevShell介绍：

PHPDevShell是一款开源（GNU/LGPL）的快速应用开发框架，用于开发不含 Javascript的纯PHP。它有一个完整的GUI管理员后台界面。其主要目标在于开发插件一类的基于管理的应用，其中速度、安全、稳定性及弹性是最优先考虑的重点。其设计形成了一个简单的学习曲线，PHP开发者无需学习复杂的新术语。PHPDevShell的到来满足了开发者们对于轻量级但是功能完善，可以无限制的进行配置的GUI的需求。

漏洞：

Akelos介绍：

kelos PHP框架是一个基于MVC设计模式的web应用开发平台。基于良好的使用习惯，使用它可以完成如下任务：方便的使用Ajax编写views，通过控制器管理请求(request)及响应(response)，管理国际化的应用，使用简单的协议与模型及数据库通信，Akelos应用可以在大多数共享主机服务供应方上运行，因为Akelos对服务器唯一的要求就是支持PHP。因此，Akelos PHP框架是理想的用于发布单独web应用的框架，因为它不需要非标准PHP配置便能运行。

漏洞：（暂时没找到）

Prado介绍：

PRADO是一个基于组件和事件驱动的PHP5开发框架。 它以组件，事件，属性来代替传统web开发中的程序，URLs和查询参数。一个PRADO组件是由一个说明文件(XML),一个HTML模板和一个PHP类组件。一个个PRADO组件组合在一起形成大型组件或完整的PRADO页面。

漏洞：

??????? 1.? PRADO 目录遍历漏洞

ZooP介绍：

Zoop PHP框架，意为Zoop面向对象的PHP框架。这是个稳定，可伸缩并可移植的框架。oop由很多组件和项目集合而成，其中包括smarty和prototype AJAX框架，PEAR模块等。高效的核心组件提供了很多你原本需要自己编码来实现的功能。Zoop内置的纠错功能可以通过配置实现生产环境下的错误日志生成，这个错误日志提供了很多信息，可读性很高，可以更轻易的寻找并排除错误。

漏洞：（暂时没找到）

QPHP介绍：

QPHP立足于快速的PHP和类似ASP.NET mvc框架架构。

漏洞：（暂时没找到）

结语：部分PHP框架及漏洞，大佬勿喷