Zusammenfassung der Sicherheitsprobleme bei schwachen PHP-Typen

Vor einiger Zeit habe ich ein Thema auf der Network Attack and Defense Platform der Nanjing University of Posts and Telecommunications verfasst. Nachdem ich einen Artikel geschrieben habe, muss ich ihn noch zusammenfassen. Da es sich bei den Fragen ausschließlich um Web-Fragen handelt und alle Fragen mit PHP geschrieben wurden, werden bei vielen Fragen herkömmliche Schwachstellen wie SQL-Injection und XSS nicht untersucht. Viele davon sind Probleme mit der Syntax von PHP selbst. Da PHP derzeit die beste Sprache der Welt ist, können auch Probleme mit PHP selbst als Aspekt der Websicherheit gezählt werden. Merkmale im PHP-Training sind schwache Typisierung und die lockere Handhabung eingehender Parameter durch integrierte Funktionen. In diesem Artikel geht es hauptsächlich darum, die Probleme in den PHP-Funktionen aufzuzeichnen, auf die ich beim Aufbau einer offensiven und defensiven Plattform gestoßen bin, sowie die Probleme, die durch die schwachen Typen von PHP verursacht werden.
Einführung in schwache PHP-Typen
In PHP können Sie die folgenden Vorgänge ausführen.
$param = 1;
$param = "stringg";
Schwach typisierte Sprache hat keine Einschränkungen hinsichtlich des Datentyps der Variablen Zeitvariablen werden Variablen eines beliebigen anderen Typs zugewiesen, und Variablen können auch in Daten eines beliebigen anderen Typs konvertiert werden.
Typkonvertierungsproblem
Typkonvertierung ist ein unvermeidbares Problem. Wenn Sie beispielsweise GET- oder POST-Parameter in den Typ int konvertieren müssen oder wenn die beiden Variablen nicht übereinstimmen, konvertiert PHP die Variablen automatisch. Allerdings ist PHP eine schwach typisierte Sprache, was zu vielen unerwarteten Problemen bei der Typkonvertierung führt.
Vergleichsoperator
Typkonvertierung
Im Vergleich von $a==$b
$a=null;$b=flase ; //true
$a='';$ b =null; //true
Es gibt viele solcher Beispiele und diese Vergleiche sind alle gleich.
Es gibt auch Typkonvertierungsprobleme bei der Verwendung von Vergleichsoperatoren, wie folgt:
0=='0' //true
0 == 'abcdefg' //true
0 === ' abcdefg ' //false
1 == '1abcdef' //true
Wenn verschiedene Arten von Variablen verglichen werden, liegt ein Problem bei der Variablenkonvertierung vor, und nach der Konvertierung kann es zu Problemen kommen.
Hash-Vergleich
Zusätzlich zu der oben genannten Methode gibt es auch Probleme beim Durchführen eines Hash-Vergleichs. Wie folgt:
"0e132456789"=="0e7124511451155" //true
"0e123456abc"=="0e1dddada" //false
"0e1abc"=="0" //true
Vergleichen während Wenn bei der Operation eine Zeichenfolge wie 0ed gefunden wird, wird diese Zeichenfolge in wissenschaftliche Notation analysiert. Daher sind die Werte der beiden Zahlen im obigen Beispiel beide 0 und daher gleich. Dieses Muster ist nicht gleich, wenn 0ed nicht erfüllt ist. Diese Frage wird in der MD5-Kollision in der Offensiv- und Defensivplattform getestet.
Hexadezimale Konvertierung
Es gibt auch ein Problem beim Vergleich von hexadezimalen Restzeichenfolgen. Beispiele sind wie folgt:
"0x1e240"=="123456" //true
"0x1e240"==123456 //true
"0x1e240"=="1e240" //false
Wenn eins Wenn die Zeichenfolge mit 0x beginnt, analysiert PHP die Zeichenfolge in eine Dezimalzahl und vergleicht sie dann mit 0 × 1240. Die Analyse in eine Dezimalzahl ergibt 123456, sodass der Vergleich mit 123456 von int-Typ und Zeichenfolgentyp gleich ist. Die Schwierigkeit bei der Benennung der Offensiv- und Defensivplattform ist auf diese Eigenschaft der Inspektion zurückzuführen.
Typkonvertierung
Übliche Konvertierungen sind hauptsächlich die Konvertierung von int in string und von string in int.
int to string:
$var = 5;
Methode 1: $item = (string)$var;
Methode 2: $item = strval($var); int: intval()-Funktion.
Für diese Funktion können Sie sich zunächst 2 Beispiele ansehen.
var_dump(intval('2')) //2
var_dump(intval('3abcd')) //3
var_dump(intval('abcd')) //0
Beschreibung intval () Bei der Konvertierung wird vom Anfang der Zeichenfolge konvertiert, bis ein nicht numerisches Zeichen gefunden wird. Selbst wenn eine Zeichenfolge vorhanden ist, die nicht konvertiert werden kann, meldet intval() keinen Fehler, sondern gibt 0 zurück.
Diese Funktion von intval() wird in der Frage von MYSQL auf der offensiven und defensiven Plattform getestet.
Gleichzeitig sollten Programmierer beim Programmieren nicht den folgenden Code verwenden:
if(intval($a)>1000) {
mysql_query("select * from news where id=". $a)
}
Zu diesem Zeitpunkt kann der Wert von $a 1002 Union sein....
Die Lockerheit der Parameter der integrierten Funktion
Die Lockerheit der integrierten Funktion bedeutet dass beim Aufruf der Funktion der Funktion ein Parametertyp übergeben wird, den die Funktion nicht akzeptieren kann. Die Erklärung ist etwas schwierig, deshalb wollen wir das Problem direkt anhand praktischer Beispiele veranschaulichen. Im Folgenden konzentrieren wir uns auf einige solcher Funktionen.
md5()
$array1[] = array(
"foo" => "bar",
"bar" => "foo",
); = array("foo", "bar", "hello", "world");
var_dump(md5($array1)==var_dump($array2)); //true
Die Beschreibung der Funktion md5() im PHP-Handbuch lautet string md5 ( string $str [, bool $raw_output = false ] ), und der erforderliche Parameter in md5() ist ein Parameter vom Typ String. Wenn Sie jedoch ein Array übergeben, meldet md5 () keinen Fehler und Knowledge kann den MD5-Wert des Arrays nicht korrekt berechnen. Dies führt dazu, dass die MD5-Werte zweier Arrays gleich sind. Diese Funktion von md5() wird auch in der Angriffs- und Verteidigungsplattform wieder als Bypass berücksichtigt.
strcmp()
Die Beschreibung der Funktion strcmp() im offiziellen PHP-Handbuch lautet int strcmp ( string $str1 , string $str2 ), und Sie müssen 2 String-Typ-Parameter an strcmp() übergeben. Wenn str1 kleiner als str2 ist, wird -1 zurückgegeben, bei Gleichheit wird 0 zurückgegeben, andernfalls wird 1 zurückgegeben. Der Kern der Funktion strcmp zum Vergleichen von Zeichenfolgen besteht darin, zwei Variablen in ASCII umzuwandeln, dann eine Subtraktionsoperation durchzuführen und dann den Rückgabewert basierend auf dem Operationsergebnis zu bestimmen.
Was passiert, wenn der an strcmp() übergebene Parameter eine Zahl ist?
$array=[1,2,3];
var_dump(strcmp($array,'123')); //null, in gewissem Sinne ist null gleichbedeutend mit false.
Diese Funktion von strcmp wurde bei der Passkontrolle in der Offensiv- und Defensivplattform getestet.
switch()
Wenn es sich bei switch um eine Fallbeurteilung vom numerischen Typ handelt, konvertiert switch die Parameter in den Typ int. Wie folgt:
$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
echo "i ist kleiner als 3 aber nicht negativ";
break;
Fall 3:
echo "i ist 3";
}
Zu diesem Zeitpunkt lautet die Programmausgabe, dass i kleiner als 3, aber nicht negativ ist. aufgrund von switch Die Funktion () führt eine Typkonvertierung für $i durch und das Konvertierungsergebnis ist 2.
in_array()
Im PHP-Handbuch lautet die Erklärung der Funktion in_array() bool in_array ( Mixed $needle , array $haystack [, bool $strict = FALSE ] ). , dann ist in_array ein loser Vergleich, um festzustellen, ob sich $needle in $haystack befindet. Wenn der Wert von stringe wahr ist, vergleicht in_array(), ob der Typ von Needls und der Typ im Haystack identisch sind.
$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array ) )); //true
Sie können sehen, dass die obige Situation „true“ zurückgibt, da „abc“ in 0 und „1bc“ in 1 umgewandelt wird.
array_search() und in_array() haben das gleiche Problem.