Home > php教程 > php手册 > PHP安全之:重燃你的Php安全之火

PHP安全之:重燃你的Php安全之火

WBOY
Release: 2016-06-21 09:00:21
Original
907 people have browsed it

对于脚本安全这个话题好像永远没完没了,如果你经常到国外的各种各样的bugtraq上,你会发现有一半以上都和脚本相关,诸如SQL injection,XSS,Path Disclosure,Remote commands execution这样的字眼比比皆是,我们看了之后的用途难道仅仅是抓肉鸡?对于我们想做web安全的人来说,最好就是拿来学习,可是万物抓根源,我们要的不是鱼而是渔。在国内,各种各样的php程序1.0版,2.0版像雨后春笋一样的冒出来,可是,大家关注的都是一些著名的cms,论坛,blog程序,很少的人在对那些不出名的程序做安全检测,对于越来越多的php程序员和站长来说,除了依靠服务器的堡垒设置外,php程序本身的安全多少你总得懂点吧。

有人说你们做php安全无非就是搞搞注入和跨站什么什么的,大错特错,如果这样的话,一个magic_quotes_gpc或者服务器里的一些安全设置就让我们全没活路了:(。我今天要说的不是注入,不是跨站,而是存在于php程序中的一些安全细节问题。OK!切入正题。

注意一些函数的过滤

有些函数在程序中是经常使用的,像include(),require(),fopen(),fwrite(),readfile(),unlink(),eval()以及它们的变体函数等等。这些函数都很实用,实用并不代表让你多省心,你还得为它们多费点心。 :)

1.include(),require()和fopen(),include_once(),require_once()这些都可以远程调用文件,对于它们的危害,google搜一下你就会很明了,对于所包含调用的变量没过滤好,就可以任意包含文件从而去执行。举个例子,看print.php

...

if (empty ($bn) ) { //检查是变量$bn是否为空

include ("$cfg_dir/site_${site}.php"); //把$cfg_dir这个路径里的site_${site}.php包含进来

...

不管存不存在$cfg_dir目录,$site这个变量你可以很自然的去使用,因为他根本没检查$site变量啊。可以把变量$site指定远程文件去调用,也可以是本地的一个文件,你所指定的文件里写上php的语句,然后它就去包含执行这个含有php语句的文件了.就像这样

列出文件目录

甚至可以扩展到包含一些管理员文件,提升权限,典型的像以前phpwind,bo-blog的漏洞一样。除了依靠php.ini里的allow_url_fopen设为off禁止远程使用文件和open_base_dir禁止使用目录以外的文件外,你还得事先声明好只能包含哪些文件,这里就不多说废话了。

2.fopen(),file(),readfile(),openfile(),等也是该特别留意的地方。函数本身并没什么,它们的作用是去打开文件,可是如果对变量过滤不彻底的话,就会泄露源代码。这样的函数文本论坛里会有很多。

...

$articlearray=openfile("$dbpath/$fid/$tid.php"); //打开$dbpath/$fid这个路径的$tid.php文件

$topic_detail=explode("|",$articlearray[0]); //用分割符|读出帖子的内容

...

很眼熟吧,这是ofstar以前版本的read.php,$fid和$tid没有任何过滤,$tid指定为某个文件提交,就发生了原代码泄露。就像这样。

http://explame.com/ofstar/read.php?fid=123&tid=../index

$tid会被加上php的后缀,所以直接写index。这仅仅是个例子,接着看吧。

3.fwrite()和它的变体函数这种漏洞想想都想得出,对于用户提交的字符没过滤的话,写入一段php后门又不是不可以。

4.unlink()函数,前段时间,phpwind里任意删除文件就是利用这个函数,对于判断是否删除的变量没过滤,变量可以指定为任意文件,当然就可以删除任意文件的变量。

5.eval(),preg_replace()函数,它们的作用是执行php代码,如果字符串没被经过任何过滤的话,会发生什么呢,我就常看见一些cms里面使用,想想,一句话的php木马不就是根据eval()原理制作的吗?

6.对于system()这些系统函数,你会说在php.ini里禁止系统函数,对,这也是好办法,可是象一些程序里需要,那是不是就不用了呢?就像上次我看到的一套很漂亮的php相册一样。另外对于popen(),proc_open(),proc_close()函数你也得特别注意,尽管他们执行命令后并没有直接的输出,但你想这到底对黑客们有没有用呢。再这里php提供提供了两个函数,escapeshellarg(),escapeshellcmd(),这两个函数用来对抗系统函数的调用攻击,也就是过滤。

对于危害,来举个例子,我们来看某论坛prod.php

07 $doubleApp = isset($argv[1]); //初始化变量$doubleApp

...

14 if( $doubleApp ) //if语句

15 {

16 $appDir = $argv[1]; //初始化$appDir

17 system("mkdir $prodDir/$appDir"); //使用系统函数system来创建目录$prodDir/$appDir

本来是拿来创建$prodDir/$appDir目录的,再接着看上去,程序仅仅检测是否存在$argv[1],缺少对$argv[1]的必要过滤,那么你就可以这样

/prod.php?argv[1]=|ls%20-la或者/prod.php?argv[1]=|cat%20/etc/passwd

(分割符 | 在这里是UNIX的管道参数,可以执行多条命令。)

到这里,常见的漏洞类型应该知道点了吧。

对于特殊字符的重视

对于特殊字符,有句话叫All puts is invalid.外国人文章里这句话很常见的。所有输入都是有害的。你永远不要对用户所输入的东西省心,为了对付这些危害,程序员都在忙着过滤大把大把的字符,唯恐漏了什么。而有些程序员呢?好像从没注意过这些问题,从来都是敞开漏洞大门的。不说废话,还是先看看下面这些东西吧。

1.其实程序的漏洞里最关键,最让开发者放心不下的就是带着$符号的美元符号,变量,对于找漏洞的人来说,抓着变量两个字就是一切。就像目录遍历这个bug,很多邮件程序都存在,开发者考虑的很周全,有的甚至加上了网络硬盘这个东西,好是好,就像

http://mail.com/file.php?id=1&put=list&tid=1&file=./

要是我们把file这个变量换成./../甚至更上层呢?目录就这样被遍历了。

2.尖括号""跨站你不会不知道吧,一些搜索栏里,文章,留言,像前段时间phpwind附件那里的跨站等等。当然,对于跨站问题,你要过滤的远远不止尖括号。不怕过滤时漏掉什么,而是怕你想不起要去过滤。

3.斜杆和反斜杆:对于/和\的过滤,记得魔力论坛的附件下载处的原代码泄露吗?

attachment.php?id=684&u=3096&extension=gif&attach=.\..\..\..\..\..\..\includes\config.php&filename=1.gif

对于过滤.. / \的问题,像windows主机不仅要过滤../还要过滤..\,windows主机对\会解析为/,这些细节跟SQL injection比起来,什么才叫深入呢?

4.对于反引号(``),反引号在php中很强大,它可以执行系统命令,就像system()这些系统函数一样,如果用户的恶意语句被它所执行的话就会危害服务器,我想除了服务器设置的很好以外,对于它们,你还是老老实实的过滤好吧。

5.对于换行符,NULL字符等等,像"\t,\x0B,\n,\r,\0这些,这些都是很有用的,像动网以前的上传漏洞就是因为上传中的NULL(\0)字符引起的,对于这些能随意截断程序流程的字符,你说我们在检测的时候应该有多细心呢?

6.分号(;)和分割符(|)

分号截断程序流程,就像这个

shell_exec("del ./yourpath/$file"); //使用系统函数shell_exec删除文件$file

变量$file没指定,那么直接写zizzy.php;del ./yourpath ,这样你的yourpath目录也就被del了。

分割符(|)是UNIX里自带的管道函数,可以连接几条命令来执行。有时候加在过滤不严的系统函数中执行。

逻辑错误

验证不完全和一些逻辑错误在程序里也很容易找到,特别是现在的程序员,只顾深入的学习,而对于逻辑错误等等这样的安全意识都没有培养的意识,其实这是是靠自己去培养,而不是等着人来报告bug给你。对于逻辑错误的判断,我们只能说,多练练吧,经验才是最重要的。

1.对于登陆验证的问题。举个例子:我们看某论坛的admin.php片断

它这里username 和 password好像不对劲吧,存在管理员的username和password就直接通过验证,那就意味着没有用户名,没密码也行吧。我们提交

GET /bbs/admin/index.php?page=general HTTP/1.1

Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*

Accept-Language: zh-cn

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)

Host: 127.0.0.1

Connection: Keep-Alive

Cookie: username=’or isnull(1/0) AND level=3/*; password=;

这是我们伪造的一个数据包(你问我咋伪造地?抓包再修改呗),我们使用GET来提交数据,原理也就是在cookie这里构造欺骗语句。

接着,整个SQL语句就成这样

SELECT * FROM users WHERE username=’’or isnull(1/0) AND level=3/*’ AND password=’’

这里仅仅用一个’or’=’or’的原理,就把username和password的检测给绕开了,而level=3则是伪造的等级。从而就饶过了检测,进入了管理后台。

对于后台的验证不能这么马虎,两行代码就算完事,你还得从SESSION(会话),Cookie这些地方来增强验证。

2.上传漏洞

有次我看到在一个程序config.php里对上传文件类型限制是这样的

$IllegalExtentions = array(’exe’,’asp’,’php’,’php3’,’bat’,’cgi’,’pl’,’com’,’vbs’,’reg’,’pcd’,’pif’,’scr’,’bas’,’inf’,’vb’,’vbe’,’wsc’,’wsf’,’wsh’); //对于上传文件的限制,只允许上传exe,asp,php,php3,bat,cgi,pl,com,vbs,reg,pcd,pif,scr,bas,inf,vb,vbe,wsc,wsf,ws’这些文件。

规定不许用户上传什么什么文件,其它都可以上传,这种逻辑好不好呢?如果我上传.inc, ,.php4 .phtml, .html, .pwml 这样的类型呢?为什么你不把这种逻辑思维改为规定用户除了这几种文件能传,其它的统统不允许上传。就像这样,数组改成逆向的思维。

$IllegalExtentions = array(’rar’,’gif’,’jpg’,’bmp’,’pdf’)//只能上传rar,gif,jpg,bmp,pdf几种格式

其实这个跟你们上传cer,asa是一个道理。

3.典型的逻辑错误

在一些cms(整站程序)中随便注册个用户,你会发现修改资料的地方不要求输入原来的密码,只通过判断用户id或者email,你把网页保存到本地,把id或email改成管理员的,action 改为修改提交地址,提交你就成了管理员。解决办法不太难,只要我们增加密码验证,增强那个mysql的update语句的过滤也就ok了。

这些我们也没办法,多数程序员对于安全根本不去在意,本来一个人可以去做的事,为什么偏偏要分出搞web安全的和web开发两种人呢?

长度问题

别以为找漏洞的就是为了拿个管理员密码或者webshell,也有些不安分的人,也就是DDOSer(拒绝服务攻击者),他们的花样很多,但对于程序员来说,关键就在过滤。我所说的长度问题,不仅仅是个字符的长度,也包括时间的长度,你一定见过有人写个脚本,一下就注册成千上万的用户,或者纯粹的写垃圾数据把数据库拖死。这个时候,限制数据提交时间和验证码就起作用了。不过要真的遇到狠毒的人,一个变量的过滤问题就可以把网站搞瘫痪,这比用什么网络僵尸那些软件来得更快。

不大不小的问题

1.绝对路径的泄露

这个问题可真是不大不小,很多程序都有,这也算安全的一部分。至少你玩注入loadfile()需要吧。当然,这时的php.ini中的display_errors也可以起作用了。

2.对后台的验证

不要说不信,我就曾看到一些程序这样,你去测试,注册个用户,提交管理员编辑用户的URL,比如admin_member.php?action=edit&id=55&level=4&username=zizzy&power=1这样相应的添加管理员的URL,你会发现几乎没验证,直接成功了。所以,对于后台的检测,也很有必要,就像刚出的Discuz的那个漏洞。

过滤问题不知不觉就说了那么多,写了好多处该过滤的提醒,现在也该说说了如何进行过滤。

1.在用户输入任何数据,也就是提交变量进数据库时,我们必须使用addslashes()进行过滤,像我们的注入问题,一个addslashes()也就搞定了。其实在涉及到变量取值时,intval()函数对字符串的过滤也是个不错的选择。

2.在php.ini中开启magic_quotes_gpc和magic_quotes_runtime。magic_quotes_gpc可以把get,post,cookie里的引号变为斜杠。magic_quotes_runtime对于进出数据库的数据可以起到格式话的作用。其实,早在以前注入很疯狂时,这个参数就很流行了。

3.在使用系统函数时,必须使用escapeshellarg(),escapeshellcmd()参数去过滤,这样你也就可以放心的使用系统函数。

4.对于跨站,strip_tags(),htmlspecialchars()两个参数都不错,对于用户提交的的带有html和php的标记都将进行转换。比如尖括号"5.对于相关函数的过滤,就像先前的include(),unlink,fopen()等等,只要你把你所要执行操作的变量指定好或者对相关字符过滤严密,我想这样也就无懈可击了。

服务器安全设置

谈服务器安全设置,我觉得很不实际的,我们大多数人都用虚拟主机,对于php.ini怎么设,那个只有网管自己看着办了。不过我还是说下,

1.设置“safe_mode”为“on”

这对于广大空间商来说是一个伟大的选项,它能极大地改进PHP的安全性。

2.禁止“open_basedir” ,这个选项可以禁止指定目录之外的文件操作,还能有效地消除本地文件或者是远程文件被include()等函数的调用攻击。

3.expose_php设为off ,这样php不会在http文件头中泄露信息.

4.设置“allow_url_fopen”为“off” 这个选项可以禁止远程文件功能,极力推荐

5“log_errors”为“on” 错误日至得带上吧

6..对于“display_errors,register_globals”两项要视情况而定了,display_errors太消极了,错误全关,想调试脚本都不行。至于register_globals(全局变量)把它开起来,关了会很麻烦,现在大多数程序没它支持就别想用了。

这些是最必要的设置。关于php服务器更高的安全设置是门学问,也就不在本文探讨范围内了。

这篇文章到这里就要结束了,也许你会说,你说的这些都是对开源的程序才有用,对那些zend加密的程序不就没办法可使了吗?其实,对安全来说,固其根本才是重要的吧,你再怎么加密难道逃得过黑盒测试?总有一天会被发现的吧。

限于篇幅也就到这里了,我们对于php程序安全也有了初步的探索。为广大读者朋友考虑,举的例子也算是很容易去理解地,当然前提是你得会点php,要不然又是看天书了(哇,不要看到这里才问我啥是php?)。整篇文章并不是黑客教学,而是为那些想在php安全上发展的初学者和php程序员写的。如果以后你又听到谁谁又发现什么漏洞了,再怎么变也就是那些基本的东西而已。我希望本文能为你们开阔下思路,更好的发展下去。嗜酒成痴剑亦狂,重燃你的php安全之火,带着对php的执着上路吧。



Related labels:
source:php.cn
Statement of this Website
The content of this article is voluntarily contributed by netizens, and the copyright belongs to the original author. This site does not assume corresponding legal responsibility. If you find any content suspected of plagiarism or infringement, please contact admin@php.cn
Popular Recommendations
Popular Tutorials
More>
Latest Downloads
More>
Web Effects
Website Source Code
Website Materials
Front End Template