對(duì)于我們想做web安全的人來(lái)說(shuō)，最好就是拿來(lái)學(xué)習(xí)，可是萬(wàn)物抓根源，我們要的不是魚(yú)而是漁。在國(guó)內(nèi)，各種各樣的php程序1.0版,2.0版像雨后春筍一樣的冒出來(lái)，可是，大家關(guān)注的都是一些著名的cms,論壇,blog程序，很少的人在對(duì)那些不出名的程序做安全檢測(cè)，對(duì)于越來(lái)越多的php程序員和站長(zhǎng)來(lái)說(shuō)，除了依靠服務(wù)器的堡壘設(shè)置外，php程序本身的安全多少你總得懂點(diǎn)吧。
有人說(shuō)你們做php安全無(wú)非就是搞搞注入和跨站什么什么的，大錯(cuò)特錯(cuò)，如果這樣的話，一個(gè)magic_quotes_gpc或者服務(wù)器里的一些安全設(shè)置就讓我們?nèi)珱](méi)活路了：（。我今天要說(shuō)的不是注入，不是跨站，而是存在于php程序中的一些安全細(xì)節(jié)問(wèn)題。OK!切入正題。
注意一些函數(shù)的過(guò)濾
有些函數(shù)在程序中是經(jīng)常使用的,像include(),require(),fopen(),fwrite(),readfile(),unlink(),eval()以及它們的變體函數(shù)等等。這些函數(shù)都很實(shí)用，實(shí)用并不代表讓你多省心，你還得為它們多費(fèi)點(diǎn)心。 ：）
1.include(),require()和fopen(),include_once(),require_once()這些都可以遠(yuǎn)程調(diào)用文件，對(duì)于它們的危害，google搜一下你就會(huì)很明了，對(duì)于所包含調(diào)用的變量沒(méi)過(guò)濾好，就可以任意包含文件從而去執(zhí)行。舉個(gè)例子，看print.php
…
if (empty ($bn) ) { //檢查是變量$bn是否為空
include (“$cfg_dir/site_${site}.php”); //把$cfg_dir這個(gè)路徑里的site_${site}.php包含進(jìn)來(lái)
…
不管存不存在$cfg_dir目錄，$site這個(gè)變量你可以很自然的去使用，因?yàn)樗緵](méi)檢查$site變量啊?？梢园炎兞?site指定遠(yuǎn)程文件去調(diào)用，也可以是本地的一個(gè)文件，你所指定的文件里寫(xiě)上php的語(yǔ)句，然后它就去包含執(zhí)行這個(gè)含有php語(yǔ)句的文件了.就像這樣
列出文件目錄甚至可以擴(kuò)展到包含一些管理員文件，提升權(quán)限，典型的像以前phpwind,bo-blog的漏洞一樣。除了依靠php.ini里的allow_url_fopen設(shè)為off禁止遠(yuǎn)程使用文件和open_base_dir禁止使用目錄以外的文件外，你還得事先聲明好只能包含哪些文件，這里就不多說(shuō)廢話了。
2.fopen(),file(),readfile(),openfile(),等也是該特別留意的地方。函數(shù)本身并沒(méi)什么,它們的作用是去打開(kāi)文件，可是如果對(duì)變量過(guò)濾不徹底的話，就會(huì)泄露源代碼。這樣的函數(shù)文本論壇里會(huì)有很多。
…
$articlearray=openfile(“$dbpath/$fid/$tid.php”); //打開(kāi)$dbpath/$fid這個(gè)路徑的$tid.php文件
$topic_detail=explode(“|”,$articlearray[0]); //用分割符|讀出帖子的內(nèi)容
…
很眼熟吧，這是ofstar以前版本的read.php,$fid和$tid沒(méi)有任何過(guò)濾，$tid指定為某個(gè)文件提交，就發(fā)生了原代碼泄露。就像這樣。

$tid會(huì)被加上php的后綴，所以直接寫(xiě)index。這僅僅是個(gè)例子，接著看吧。
3.fwrite()和它的變體函數(shù)這種漏洞想想都想得出，對(duì)于用戶提交的字符沒(méi)過(guò)濾的話，寫(xiě)入一段php后門(mén)又不是不可以。
4.unlink()函數(shù)，前段時(shí)間，phpwind里任意刪除文件就是利用這個(gè)函數(shù)，對(duì)于判斷是否刪除的變量沒(méi)過(guò)濾，變量可以指定為任意文件，當(dāng)然就可以刪除任意文件的變量。
5.eval(),preg_replace()函數(shù)，它們的作用是執(zhí)行php代碼，如果字符串沒(méi)被經(jīng)過(guò)任何過(guò)濾的話，會(huì)發(fā)生什么呢，我就?？匆?jiàn)一些cms里面使用，想想，一句話的php木馬不就是根據(jù)eval()原理制作的嗎？
6.對(duì)于system()這些系統(tǒng)函數(shù)，你會(huì)說(shuō)在php.ini里禁止系統(tǒng)函數(shù)，對(duì)，這也是好辦法，可是象一些程序里需要，那是不是就不用了呢？就像上次我看到的一套很漂亮的php相冊(cè)一樣。另外對(duì)于popen(),proc_open(),proc_close()函數(shù)你也得特別注意，盡管他們執(zhí)行命令后并沒(méi)有直接的輸出，但你想這到底對(duì)黑客們有沒(méi)有用呢。再這里php提供提供了兩個(gè)函數(shù)，escapeshellarg(),escapeshellcmd(),這兩個(gè)函數(shù)用來(lái)對(duì)抗系統(tǒng)函數(shù)的調(diào)用攻擊，也就是過(guò)濾。
對(duì)于危害，來(lái)舉個(gè)例子，我們來(lái)看某論壇prod.php
07 $doubleApp = isset($argv[1]); //初始化變量$doubleApp
…
14 if( $doubleApp ) //if語(yǔ)句
15 {
16 $appDir = $argv[1]; //初始化$appDir
17 system(“mkdir $prodDir/$appDir”); //使用系統(tǒng)函數(shù)system來(lái)創(chuàng)建目錄$prodDir/$appDir

本來(lái)是拿來(lái)創(chuàng)建$prodDir/$appDir目錄的，再接著看上去，程序僅僅檢測(cè)是否存在$argv[1]，缺少對(duì)$argv[1]的必要過(guò)濾，那么你就可以這樣
/prod.php?argv[1]=|ls%20-la或者/prod.php?argv[1]=|cat%20/etc/passwd
（分割符| 在這里是UNIX的管道參數(shù)，可以執(zhí)行多條命令。）
到這里，常見(jiàn)的漏洞類型應(yīng)該知道點(diǎn)了吧。

所以一定不要只指望服務(wù)器端的設(shè)置，最好后臺(tái)程序也需要注意下，一般情況下通過(guò)服務(wù)器針對(duì)某個(gè)站點(diǎn)設(shè)置應(yīng)該能好點(diǎn)。但很多與數(shù)據(jù)庫(kù)的操作等就不是這么容易控制了。

最新評(píng)論