PHP漏洞全解

PHP網(wǎng)頁的安全性問題
針對PHP的網(wǎng)站主要存在下面幾種攻擊方式:
1.命令注入(Command Injection)
2.eval注入(Eval Injection)
3.客戶端腳本攻擊(script Insertion)
4.跨網(wǎng)站腳本攻擊(Cross Site scripting, XSS)
5.SQL注入攻擊(SQL injection)
6.跨網(wǎng)站請求偽造攻擊(Cross Site Request Forgeries, CSRF)
7.Session 會(huì)話劫持(Session Hijacking)
8.Session 固定攻擊(Session Fixation)
9.HTTP響應(yīng)拆分攻擊(HTTP Response Splitting)
10.文件上傳漏洞(File Upload Attack)
11.目錄穿越漏洞(Directory Traversal)
12.遠(yuǎn)程文件包含攻擊(Remote Inclusion)
13.動(dòng)態(tài)函數(shù)注入攻擊(Dynamic Variable Evaluation)
14.URL攻擊(URL attack)
15.表單提交欺騙攻擊(Spoofed Form Submissions)
16.HTTP請求欺騙攻擊(Spoofed HTTP Requests)
幾個(gè)重要的php.ini選項(xiàng)
Register Globals
php>=4.2.0,php.ini的register_globals選項(xiàng)的默認(rèn)值預(yù)設(shè)為Off,當(dāng)register_globals的設(shè)定為On時(shí),程序可以接收來自服務(wù)器的各種環(huán)境變量,包括表單提交的變量,而且由于PHP不必事先初始化變量的值,從而導(dǎo)致很大的安全隱患.
例1:
//check_admin()用于檢查當(dāng)前用戶權(quán)限,如果是admin設(shè)置$is_admin變量為true,然后下面判斷此變量是否為true,然后執(zhí)行管理的一些操作
//ex1.php
if (check_admin())
{
$is_admin = true;
}
if ($is_admin)
{
do_something();
}
?>
這一段代碼沒有將$is_admin事先初始化為Flase,如果register_globals為On,那么我們直接提交 http://www.sectop.com/ex1.php?is_admin=true,就可以繞過check_admin()的驗(yàn)證
例2:
//ex2.php
if (isset($_SESSION["username"]))
{
do_something();
}
else
{
echo "您尚未登錄!";
}
?>
當(dāng)register_globals=On時(shí),我們提交http://www.sectop.com/ex2.php?_SESSION[username]=dodo,就具有了此用戶的權(quán)限
所以不管register_globals為什么,我們都要記住,對于任何傳輸?shù)臄?shù)據(jù)要經(jīng)過仔細(xì)驗(yàn)證,變量要初始化
safe_mode
安全模式,PHP用來限制文檔的存取.限制環(huán)境變量的存取,控制外部程序的執(zhí)行.啟用安全模式必須設(shè)置php.ini中的safe_mode = On
1.限制文件存取
safe_mode_include_dir = "/path1:/path2:/path3"
不同的文件夾用冒號(hào)隔開
2.限制環(huán)境變量的存取
safe_mode_allowed_env_vars = string
指定PHP程序可以改變的環(huán)境變量的前綴,如:safe_mode_allowed_env_vars = PHP_ ,當(dāng)這個(gè)選項(xiàng)的值為空時(shí),那么php可以改變?nèi)魏苇h(huán)境變量
safe_mode_protected_env_vars = string
用來指定php程序不可改變的環(huán)境變量的前綴
3.限制外部程序的執(zhí)行
safe_mode_exec_dir = string
此選項(xiàng)指定的文件夾路徑影響system.exec.popen.passthru,不影響shell_exec和"` `".
disable_functions = string
不同的函數(shù)名稱用逗號(hào)隔開,此選項(xiàng)不受安全模式影響
magic quotes
用來讓php程序的輸入信息自動(dòng)轉(zhuǎn)義,所有的單引號(hào)("'"),雙引號(hào)("""),反斜杠("")和空字符(NULL),都自動(dòng)被加上反斜杠進(jìn)行轉(zhuǎn)義
magic_quotes_gpc = On 用來設(shè)置magic quotes 為On,它會(huì)影響HTTP請求的數(shù)據(jù)(GET.POST.Cookies)
程序員也可以使用addslashes來轉(zhuǎn)義提交的HTTP請求數(shù)據(jù),或者用stripslashes來刪除轉(zhuǎn)義
命令注入攻擊
PHP中可以使用下列5個(gè)函數(shù)來執(zhí)行外部的應(yīng)用程序或函數(shù)
system.exec.passthru.shell_exec.``(與shell_exec功能相同)
函數(shù)原型
string system(string command, int &return_var)
command 要執(zhí)行的命令
return_var 存放執(zhí)行命令的執(zhí)行后的狀態(tài)值
string exec (string command, array &output, int &return_var)
command 要執(zhí)行的命令
output 獲得執(zhí)行命令輸出的每一行字符串
return_var 存放執(zhí)行命令后的狀態(tài)值
void passthru (string command, int &return_var)
command 要執(zhí)行的命令
return_var 存放執(zhí)行命令后的狀態(tài)值
string shell_exec (string command)
command 要執(zhí)行的命令
漏洞實(shí)例
例1:
//ex1.php
$dir = $_GET["dir"];
if (isset($dir))
{
echo "
";
system("ls -al ".$dir);
echo "
";
}
?>
我們提交http://www.sectop.com/ex1.php?dir=| cat /etc/passwd
提交以后,命令變成了 system("ls -al | cat /etc/passwd");
eval注入攻擊
eval函數(shù)將輸入的字符串參數(shù)當(dāng)作PHP程序代碼來執(zhí)行
函數(shù)原型:
mixed eval(string code_str) //eval注入一般發(fā)生在攻擊者能控制輸入的字符串的時(shí)候
//ex2.php
$var = "var";
if (isset($_GET["arg"]))
{
$arg = $_GET["arg"];
eval("$var = $arg;");
echo "$var =".$var;
}
?>
當(dāng)我們提交 http://www.sectop.com/ex2.php?arg=phpinfo();漏洞就產(chǎn)生了
動(dòng)態(tài)函數(shù)
func A()
{
dosomething();
}
func B()
{
dosomething();
}
if (isset($_GET["func"]))
{
$myfunc = $_GET["func"];
echo $myfunc();
}
?>
程序員原意是想動(dòng)態(tài)調(diào)用A和B函數(shù),那我們提交http://www.sectop.com/ex.php?func=phpinfo 漏洞產(chǎn)生
防范方法
1.盡量不要執(zhí)行外部命令
2.使用自定義函數(shù)或函數(shù)庫來替代外部命令的功能
3.使用escapeshellarg函數(shù)來處理命令參數(shù)
4.使用safe_mode_exec_dir指定可執(zhí)行文件的路徑
esacpeshellarg函數(shù)會(huì)將任何引起參數(shù)或命令結(jié)束的字符轉(zhuǎn)義,單引號(hào)"'",替換成"'",雙引號(hào)""",替換成""",分號(hào)";"替換成";"
用safe_mode_exec_dir指定可執(zhí)行文件的路徑,可以把會(huì)使用的命令提前放入此路徑內(nèi)
safe_mode = On
safe_mode_exec_di r= /usr/local/php/bin/
客戶端腳本植入
客戶端腳本植入(script Insertion),是指將可以執(zhí)行的腳本插入到表單.圖片.動(dòng)畫或超鏈接文字等對象內(nèi).當(dāng)用戶打開這些對象后,攻擊者所植入的腳本就會(huì)被執(zhí)行,進(jìn)而開始攻擊.
可以被用作腳本植入的HTML標(biāo)簽一般包括以下幾種:
1. 無限彈框
插入 跳轉(zhuǎn)釣魚頁面
或者使用其他自行構(gòu)造的js代碼進(jìn)行攻擊
防范的方法
一般使用htmlspecialchars函數(shù)來將特殊字符轉(zhuǎn)換成HTML編碼
函數(shù)原型
string htmlspecialchars (string string, int quote_style, string charset)
string 是要編碼的字符串
quote_style 可選,值可為ENT_COMPAT ENT_QUOTES ENT_NOQUOTES,默認(rèn)值ENT_COMPAT,表示只轉(zhuǎn)換雙引號(hào)不轉(zhuǎn)換單引號(hào).ENT_QUOTES,表示雙引號(hào)和單引號(hào)都要轉(zhuǎn)換.ENT_NOQUOTES,表示雙引號(hào)和單引號(hào)都不轉(zhuǎn)換
charset 可選,表示使用的字符集
函數(shù)會(huì)將下列特殊字符轉(zhuǎn)換成html編碼:
& ----> &
" ----> "
' ----> '
< ----> <
> ----> >
把show.php的第98行改成
然后再查看插入js的漏洞頁面
xss跨站腳本攻擊
XSS(Cross Site scripting),意為跨網(wǎng)站腳本攻擊,為了和樣式表css(Cascading Style Sheet)區(qū)別,縮寫為XSS
跨站腳本主要被攻擊者利用來讀取網(wǎng)站用戶的cookies或者其他個(gè)人數(shù)據(jù),一旦攻擊者得到這些數(shù)據(jù),那么他就可以偽裝成此用戶來登錄網(wǎng)站,獲得此用戶的權(quán)限.
跨站腳本攻擊的一般步驟:
1.攻擊者以某種方式發(fā)送xss的http鏈接給目標(biāo)用戶
2.目標(biāo)用戶登錄此網(wǎng)站,在登陸期間打開了攻擊者發(fā)送的xss鏈接
3.網(wǎng)站執(zhí)行了此xss攻擊腳本
4.目標(biāo)用戶頁面跳轉(zhuǎn)到攻擊者的網(wǎng)站,攻擊者取得了目標(biāo)用戶的信息
5.攻擊者使用目標(biāo)用戶的信息登錄網(wǎng)站,完成攻擊
當(dāng)有存在跨站漏洞的程序出現(xiàn)的時(shí)候,攻擊者可以構(gòu)造類似 http://www.sectop.com/search.php?
key= ,誘騙用戶點(diǎn)擊后,可以獲取用戶cookies值
防范方法:
利用htmlspecialchars函數(shù)將特殊字符轉(zhuǎn)換成HTML編碼
函數(shù)原型
string htmlspecialchars (string string, int quote_style, string charset)
string 是要編碼的字符串
quote_style 可選,值可為ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES,默認(rèn)值ENT_COMPAT,表示只轉(zhuǎn)換雙引號(hào)不
轉(zhuǎn)換單引號(hào)。ENT_QUOTES,表示雙引號(hào)和單引號(hào)都要轉(zhuǎn)換。ENT_NOQUOTES,表示雙引號(hào)和單引號(hào)都不轉(zhuǎn)換
charset 可選,表示使用的字符集
函數(shù)會(huì)將下列特殊字符轉(zhuǎn)換成html編碼:
& ----> &
" ----> "
' ----> '
< ----> <
> ----> >
$_SERVER["PHP_SELF"]變量的跨站
在某個(gè)表單中,如果提交參數(shù)給自己,會(huì)用這樣的語句
" method="POST">
......
$_SERVER["PHP_SELF"]變量的值為當(dāng)前頁面名稱
例:
http://www.sectop.com/get.php
get.php中上述的表單
那么我們提交
http://www.sectop.com/get.php/">
那么表單變成
" method="POST">
跨站腳本被插進(jìn)去了
防御方法還是使用htmlspecialchars過濾輸出的變量,或者提交給自身文件的表單使用
這樣直接避免了$_SERVER["PHP_SELF"]變量被跨站
SQL注入攻擊
SQL注入攻擊(SQL Injection),是攻擊者在表單中提交精心構(gòu)造的sql語句,改變原來的sql語句,如果web程序沒有對提交的數(shù)據(jù)經(jīng)過檢查,那么就會(huì)造成sql注入攻擊.
SQL注入攻擊的一般步驟:
1.攻擊者訪問有SQL注入漏洞的網(wǎng)站,尋找注入點(diǎn)
2.攻擊者構(gòu)造注入語句,注入語句和程序中的SQL語句結(jié)合生成新的sql語句
3.新的sql語句被提交到數(shù)據(jù)庫中進(jìn)行處理
4.數(shù)據(jù)庫執(zhí)行了新的SQL語句,引發(fā)SQL注入攻擊
跨網(wǎng)站請求偽造
CSRF(Cross Site Request Forgeries),意為跨網(wǎng)站請求偽造,也有寫為XSRF.攻擊者偽造目標(biāo)用戶的HTTP請求,然后此請求發(fā)送到有CSRF漏洞的網(wǎng)站,網(wǎng)站執(zhí)行此請求后,引發(fā)跨站請求偽造攻擊.攻擊者利用隱蔽的HTTP連接,讓目標(biāo)用戶在不注意的情況下單擊這個(gè)鏈接,由于是用戶自己點(diǎn)擊的,而他又是合法用戶擁有合法權(quán)限,所以目標(biāo)用戶能夠在網(wǎng)站內(nèi)執(zhí)行特定的HTTP鏈接,從而達(dá)到攻擊者的目的.
例如:某個(gè)購物網(wǎng)站購買商品時(shí),采用http://www.shop.com/buy.php?item=watch&num=1,item參數(shù)確定要購買什么物品,num參數(shù)確定要購買數(shù)量,如果攻擊者以隱藏的方式發(fā)送給目標(biāo)用戶鏈接
那么如果目標(biāo)用戶不小心點(diǎn)擊以后,購買的數(shù)量就成了1000個(gè)
相關(guān)文章
- 偶爾在網(wǎng)上看到這些,拿來和大家一塊看看,也好讓各個(gè)站長懂得保護(hù)自己的網(wǎng)站2012-10-16
- 安全狗是一款大家熟悉的服務(wù)器安全加固產(chǎn)品,據(jù)稱已經(jīng)擁有50W的用戶量。最近經(jīng)過一些研究,發(fā)現(xiàn)安全狗的一些防護(hù)功能,例如SQL注入、文件上傳、防webshell等都可以被繞過2014-07-17
中國移動(dòng)mas2.0平臺(tái)系統(tǒng)漏洞暴光 附修復(fù)方法
MAS是中國移動(dòng)的短信代理網(wǎng)關(guān)(平臺(tái))。MAS是Mobile Agent Server的簡稱。目前多個(gè)政府部門、國有大型企業(yè)部門、運(yùn)營商、金融部門都采用該平臺(tái)。MAS2.0是中國新一代的代理2012-05-11查找Centos Linux服務(wù)器上入侵者的WebShell后門
服務(wù)器被掛馬或被黑的朋友應(yīng)該知道,黑客入侵web服務(wù)器的第一目標(biāo)是往服務(wù)器上上傳一個(gè)webshell,有了webshell黑客就可以干更多的事 情2012-07-10- 我們的服務(wù)器又出入侵事故了。有客戶的html 網(wǎng)頁底部被插入了一段js 腳本, 導(dǎo)致訪客打開網(wǎng)頁時(shí)被殺毒軟件警告網(wǎng)站上有惡意代碼2012-07-10
- 漏洞說明: php是一款被廣泛使用的編程語言,可以被嵌套在html里用做web程序開發(fā)。phpinfo()是用來顯示當(dāng)前php環(huán)境的一個(gè)函數(shù),許多站點(diǎn)和程序都會(huì)將phpinfo放在自己2008-10-08
最新win2003 II6解析漏洞實(shí)戰(zhàn)及應(yīng)用
新 win2003 IIS6 解析漏洞,大家可以參考下,注意防范。2009-11-23服務(wù)器上網(wǎng)站被掛Iframe木馬的解決方法
今天訪問公司的一個(gè)網(wǎng)站,突然發(fā)現(xiàn)網(wǎng)頁顯示不對,右鍵查看HTML代碼,發(fā)現(xiàn)iframe了一個(gè)網(wǎng)站的js文件,不用說,肯定被掛馬了2014-07-31- 本文介紹了使用CSRF漏洞攻擊D-link路由器全過程,主要目的是如何通過CSRF漏洞實(shí)現(xiàn)遠(yuǎn)程管理訪問D-link路由器,需要的朋友可以參考下2014-04-25
- 大部分的用戶可能不要了解文件上傳漏洞,下面小編就為大家具體的講解什么事文件上傳漏洞以及文件上傳漏洞的幾種方式2016-11-02