PHP 약한 유형 안전 문제 요약

얼마 전 난징 우편통신대학교의 네트워크 공격 및 방어 플랫폼에 관한 주제를 쓴 적이 있는데, 글을 쓴 후에도 요약해야 합니다. 문제가 모두 웹형이고 모든 문제가 PHP를 사용하여 작성되었기 때문에 SQL 삽입, XSS 등 기존의 취약점을 검토하지 않는 문제가 대부분 PHP 자체의 구문에 문제가 있습니다. 현재 PHP가 세계 최고의 언어라는 점을 고려하면, PHP 자체의 문제도 웹 보안의 한 측면으로 간주될 수 있습니다. PHP의 특징은 약한 유형 지정과 내장 함수에 의한 수신 매개변수의 느슨한 처리입니다. 이 글은 공격적, 방어적 플랫폼을 구축할 때 직면하게 되는 PHP 함수의 문제점과 PHP의 약한 타입으로 인해 발생하는 문제점을 주로 기록하기 위한 것입니다.

PHP 약한 유형 소개

---

PHP에서는 다음 작업을 수행할 수 있습니다.

$param = 1;
$param = array();
$param = "stringg";

약한 유형의 언어는 변수의 데이터 유형에 제한이 없습니다. 언제든지 다른 유형의 변수에 변수를 할당할 수 있으며 변수를 다른 유형의 변수로 변환할 수도 있습니다. 데이터.

형 변환 문제

형 변환은 피할 수 없는 문제입니다. 예를 들어, GET 또는 POST 매개변수를 int 유형으로 변환해야 하거나 두 변수가 일치하지 않는 경우 PHP는 자동으로 변수를 변환합니다. 그러나 PHP는 약한 유형의 언어이므로 유형 변환을 수행할 때 예상치 못한 많은 문제가 발생합니다.

비교 연산자

---

형식 변환

in $a==$ In b의 비교에는

$a=null;$b=flase ; //true$a='';$b=null;//true

의 예가 많고 이러한 비교는 모두 동일합니다.

비교 연산자를 사용할 때 다음과 같은 유형 변환 문제도 있습니다.

0=='0'//true0 == 'abcdefg'//true0 === 'abcdefg'//false1 == '1abcdef'//true

다른 유형의 변수를 비교할 경우 변환 후 변수 변환 문제가 발생할 수 있습니다. .

해시 비교

위의 방법 외에도 해시 비교를 수행할 때에도 문제가 있습니다.

"0e132456789"=="0e7124511451155" //true"0e123456abc"=="0e1dddada"//false"0e1abc"=="0"     //true

비교 연산을 수행할 때 0ed+와 같은 문자열이 발견되면 이 문자열을 과학적 표기법으로 구문 분석합니다. 따라서 위 예에서 두 숫자의 값은 모두 0이므로 동일합니다. 0ed+가 만족되지 않으면 이 패턴은 동일하지 않습니다. 이 질문은 공격 및 방어 플랫폼의 md5 충돌에서 테스트되었습니다.

16진수 변환

16진수 나머지 문자열을 비교할 때도 문제가 있습니다. 예는 다음과 같습니다.

"0x1e240"=="123456"//true
"0x1e240"==123456//true
"0x1e240"=="1e240"//false

문자열 중 하나가 0x로 시작하면 PHP는 문자열을 십진수로 구문 분석한 다음 이를 비교합니다. 0×1240을 십진수로 구문 분석하면 123456입니다. 123456 유형과 문자열 유형 간의 비교는 모두 동일합니다. 공격 및 방어 플랫폼에서 이름을 지정하기 어려운 것은 이러한 검사 특성 때문입니다.

유형 변환

일반적인 변환은 주로 int를 문자열로, 문자열을 int로 변환하는 것입니다.

int를 문자열로:

$var = 5;

방법 1: $item = (string)$var;

방법 2: $item = strval($var);

문자열을 int로 변환: intval() 함수.

이 기능에 대해 먼저 두 가지 예를 살펴보세요.

var_dump(intval('2'))//2
var_dump(intval('3abcd'))//3
var_dump(intval('abcd'))//0

intval()을 변환할 때 숫자가 아닌 문자를 만날 때까지 문자열의 처음부터 변환한다고 설명합니다. 변환할 수 없는 문자열이 있어도 intval()은 오류를 보고하지 않고 0을 반환합니다.

intval()의 이 기능은 공격 및 방어 플랫폼의 MYSQL 문제에서 테스트되었습니다.

동시에 프로그래머는 프로그래밍 시 다음 코드를 사용하면 안 됩니다.

if(intval($a)>1000) {
    mysql_query("select * from news where id=".$a)
}

이때 $a의 값은 1002 Union이 될 수 있습니다...

내장 함수 매개변수의 느슨함

---

내장 함수의 느슨함은 함수를 호출할 때 다음과 같은 매개변수를 전달한다는 의미입니다. 매개변수 유형이 허용되지 않습니다. 설명이 다소 어렵기 때문에 실제 예제를 통해 문제를 직접 설명하겠습니다. 아래에서는 이러한 기능에 중점을 두겠습니다.

md5()

$array1[] = array(    "foo" => "bar",    "bar" => "foo",
);
$array2 = array("foo", "bar", "hello", "world");
var_dump(md5($array1)==var_dump($array2));//true

PHP 매뉴얼의 md5() 함수 설명은 string md5 ( string $str [, bool $raw_output = false ] ), in md5( ) 문자열 유형 매개변수여야 합니다. 그러나 배열을 전달하면 md5()는 오류를 보고하지 않으며 지식은 배열의 md5 값을 올바르게 계산할 수 없게 됩니다. 이로 인해 두 배열의 md5 값이 동일해집니다. md5()의 이 기능은 공격 및 방어 플랫폼에서도 다시 우회로 고려됩니다.

strcmp()

strcmp() 함수는 PHP 공식 매뉴얼에서 int strcmp( string $str1 , string $str2 )로 설명되어 있으며 두 가지 문자열 유형을 strcmp에 전달해야 합니다. () 매개변수. str1이 str2보다 작으면 -1이 반환되고, 같으면 0이 반환되고, 그렇지 않으면 1이 반환됩니다. 문자열을 비교하는 strcmp 함수의 핵심은 두 변수를 ascii로 변환한 후 빼기 연산을 수행하고, 연산 결과에 따라 반환 값을 결정하는 것입니다.

strcmp()에 전달된 매개변수가 숫자이면 어떻게 되나요?

$array=[1,2,3];
var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。

Strcmp는 공격 및 방어 플랫폼의 패스 체크에서 테스트된 기능입니다.

switch()

switch가 숫자 유형인 경우 스위치는 매개변수를 int 유형으로 변환합니다. 다음과 같습니다:

$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
    echo "i is less than 3 but not negative";
    break;
case 3:
    echo "i is 3";
}

이때 프로그램 출력은 i가 3보다 작지만 음수는 아닙니다. 이는 switch() 함수가 $i에 대해 유형 변환을 수행하고 변환 결과가 2이기 때문입니다. .

in_array()

在PHP手册中，in_array()函数的解释是bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ),如果strict参数没有提供，那么in_array就会使用松散比较来判断$needle是否在$haystack中。当strince的值为true时，in_array()会比较needls的类型和haystack中的类型是否相同。

$array=[0,1,2,'3'];
var_dump(in_array('abc', $array));  //true
var_dump(in_array('1bc', $array));    //true

可以看到上面的情况返回的都是true,因为’abc’会转换为0，’1bc’转换为1。

array_search()与in_array()也是一样的问题。