PHP 安全
http://netkiller.github.com/article/phpsecurity.html
<openunix></openunix>
版权 ? 2011, 2012 http://netkiller.github.com
摘要
?
下面是我多年积累下来的经验总结,整理成文档供大家参考:
?
Netkiller Architect 手札 | Netkiller Linux 手札 | Netkiller Developer 手札 | Netkiller Database 手札 |
Netkiller Debian 手札 | Netkiller CentOS 手札 | Netkiller FreeBSD 手札 | Netkiller Shell 手札 |
Netkiller Web 手札 | Netkiller Monitoring 手札 | Netkiller Storage 手札 | Netkiller Mail 手札 |
Netkiller Security 手札 | Netkiller Multimedia 手札 | Netkiller Writer 手札 | Netkiller Version 手札 |
Netkiller PostgreSQL 手札 | Netkiller MySQL 手札 | Netkiller Cryptography 手札 | Netkiller Cisco IOS 手札 |
Netkiller LDAP 手札 | Netkiller Intranet 手札 | ? | ? |
?
目录
目录权限安全
web server 启动用户不能于运行用户为同一个用户
web server 运行用户与php程序不能为同一个用户
1 2 3 4 5 6 |
|
夫进程
root 启动 web server, 此时web server 父进程应该是 root,同时父进程监听80端口
子进程
父进程派生许多子进程,同时使用setuid,setgid将子进程权限切换为非root
子进程用户可以通过httpd.conf设置
1 2 3 |
|
nginx.conf
1 2 3 |
|
fastcgi 进程
1 2 3 4 5 6 |
|
php-fpm 于apache类似,都是root父进程,然后派生子进程,由于fastcgi 使用 9000 所有我们可以不使用root启动php-fpm
现在我们开始讲解安全配置问题
我们目的是避免用户通过漏洞提升权限,或者由于权限配置不当产生漏洞
Apache 案例
Apache : root
Apache 子进程 : nobody
HTDOCS 目录 : /var/www
1 2 3 4 5 6 7 |
|
很多人会将/var/www用户与组设置为 nobody:nogroup / nobody:nobody, 同时因为images会上传文件需要设置777, 很多书本于教程上面也是这样讲的, 这样配置会有什么问题呢?我们来分析一下:
我们假设,一个用户上传一个文件到images目录,会有几种情况:
上传一个.php文件,我们可以通过程序禁止上传.php文件
我们上传一个.jpg文件,OK 通过了,通过某种手段将他重命名位.php扩展名的文件,然后通过http://www.example.com/images/your.php 运行它,your.php 可以做什么呢? 它可以查看所有文件,修改所有文件,创建其他php文件,去你可include目录下看config.php然后下载数据库。
内部开发人员偷偷将一个程序植入到系统中,这个做code review 可以避免
如何避免这样问题出现,有一个办法,我们新建一个用户www, webserver 进程是nobody,程序目录/var/www中的代码是www用户,nobody可能读取但不能修改。/var/www/images 目录所有者是nobody可以上传图片
1 2 3 4 5 6 7 8 |
|
使所有可能目录允许运行.php文件,http://www.example.com/images/your.php 将被拒绝. include 也是同样处理方式,只允许使用include_once,require_one 包含,不允许http://www.example.com/include/your.php运行
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 |
|
Nginx / lighttpd 案例分析
nginx / lighttpd : root
web server 子进程 : nobody
php-fpm : root
php-fpm 子进程 : nobody
HTDOCS 目录 : /var/www
1 2 3 4 5 6 7 |
|
fastcgi 遇到的问题与上面apache案例中遇到的问题类似,不同是的fastcgi把动态于静态完全分开了,这样更容易管理,我们可以这样入手
nginx / lighttpd : root
web server 子进程 : nobody
php-fpm : root
php-fpm 子进程 : www
1 2 3 4 5 6 |
|
/var/www所有权限给nobody, images权限给www, 同时保证www用户可以读取/var/www下的程序文件
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 |
|
1 2 3 4 5 |
|
/etc/php5/fpm/pool.d/www.conf
1 2 3 4 |
|
chroot可以彻底解决cd跳转问题,单配置比较繁琐
1 2 |
|
这样当用户试图通过chdir跳转到/var/www以外的目录是,将被拒绝
1 2 3 4 5 6 7 |
|
这些函数应该尽量避免使用它们
1 2 |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
|
运行结果
1 2 3 4 5 6 7 8 9 |
|
?
1 2 |
|
1 2 |
|
1 2 |
|
选择一个MVC开发框架,它们的目录结构一般是这样的:
1 2 3 4 5 |
|
然后放行index.php文件,在URL上不允许请求任何其他php文件,并返回404错误
session.save_path 默认session 存储在/tmp, 并且一明文的方式将变量存储在以sess_为前缀的文件中
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
|
http://www.example.com/session.php 我们刷新几次再看看sess_文件中的变化
1 2 3 |
|
经过侧记你可以看到session文件中存储的是明文数据,所以不要将敏感数据放到Session中,如果必须这样作。建议你加密存储的数据
有一个办法比较好,就是封装一下session.不再采用$_SESSION方式调用
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 |
|
cookie 也需要作同样的处理,上面代码仅供参考,未做过运行测试
SQL 注入
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 |
|
SHELL 命令注入
1 2 3 4 5 |
|
1 |
|
1 2 3 4 |
|