PHP漏洞全解

PHP網(wǎng)頁(yè)的安全性問(wèn)題
針對(duì)PHP的網(wǎng)站主要存在下面幾種攻擊方式:
1.命令注入(Command Injection)
2.eval注入(Eval Injection)
3.客戶端腳本攻擊(script Insertion)
4.跨網(wǎng)站腳本攻擊(Cross Site scripting, XSS)
5.SQL注入攻擊(SQL injection)
6.跨網(wǎng)站請(qǐng)求偽造攻擊(Cross Site Request Forgeries, CSRF)
7.Session 會(huì)話劫持(Session Hijacking)
8.Session 固定攻擊(Session Fixation)
9.HTTP響應(yīng)拆分攻擊(HTTP Response Splitting)
10.文件上傳漏洞(File Upload Attack)
11.目錄穿越漏洞(Directory Traversal)
12.遠(yuǎn)程文件包含攻擊(Remote Inclusion)
13.動(dòng)態(tài)函數(shù)注入攻擊(Dynamic Variable Evaluation)
14.URL攻擊(URL attack)
15.表單提交欺騙攻擊(Spoofed Form Submissions)
16.HTTP請(qǐng)求欺騙攻擊(Spoofed HTTP Requests)
幾個(gè)重要的php.ini選項(xiàng)
Register Globals
php>=4.2.0,php.ini的register_globals選項(xiàng)的默認(rèn)值預(yù)設(shè)為Off,當(dāng)register_globals的設(shè)定為On時(shí),程序可以接收來(lái)自服務(wù)器的各種環(huán)境變量,包括表單提交的變量,而且由于PHP不必事先初始化變量的值,從而導(dǎo)致很大的安全隱患.
例1:
//check_admin()用于檢查當(dāng)前用戶權(quán)限,如果是admin設(shè)置$is_admin變量為true,然后下面判斷此變量是否為true,然后執(zhí)行管理的一些操作
//ex1.php
if (check_admin())
{
$is_admin = true;
}
if ($is_admin)
{
do_something();
}
?>
這一段代碼沒(méi)有將$is_admin事先初始化為Flase,如果register_globals為On,那么我們直接提交 http://www.sectop.com/ex1.php?is_admin=true,就可以繞過(guò)check_admin()的驗(yàn)證
例2:
//ex2.php
if (isset($_SESSION["username"]))
{
do_something();
}
else
{
echo "您尚未登錄!";
}
?>
當(dāng)register_globals=On時(shí),我們提交http://www.sectop.com/ex2.php?_SESSION[username]=dodo,就具有了此用戶的權(quán)限
所以不管register_globals為什么,我們都要記住,對(duì)于任何傳輸?shù)臄?shù)據(jù)要經(jīng)過(guò)仔細(xì)驗(yàn)證,變量要初始化
safe_mode
安全模式,PHP用來(lái)限制文檔的存取.限制環(huán)境變量的存取,控制外部程序的執(zhí)行.啟用安全模式必須設(shè)置php.ini中的safe_mode = On
1.限制文件存取
safe_mode_include_dir = "/path1:/path2:/path3"
不同的文件夾用冒號(hào)隔開(kāi)
2.限制環(huán)境變量的存取
safe_mode_allowed_env_vars = string
指定PHP程序可以改變的環(huán)境變量的前綴,如:safe_mode_allowed_env_vars = PHP_ ,當(dāng)這個(gè)選項(xiàng)的值為空時(shí),那么php可以改變?nèi)魏苇h(huán)境變量
safe_mode_protected_env_vars = string
用來(lái)指定php程序不可改變的環(huán)境變量的前綴
3.限制外部程序的執(zhí)行
safe_mode_exec_dir = string
此選項(xiàng)指定的文件夾路徑影響system.exec.popen.passthru,不影響shell_exec和"` `".
disable_functions = string
不同的函數(shù)名稱用逗號(hào)隔開(kāi),此選項(xiàng)不受安全模式影響
magic quotes
用來(lái)讓php程序的輸入信息自動(dòng)轉(zhuǎn)義,所有的單引號(hào)("'"),雙引號(hào)("""),反斜杠("")和空字符(NULL),都自動(dòng)被加上反斜杠進(jìn)行轉(zhuǎn)義
magic_quotes_gpc = On 用來(lái)設(shè)置magic quotes 為On,它會(huì)影響HTTP請(qǐng)求的數(shù)據(jù)(GET.POST.Cookies)
程序員也可以使用addslashes來(lái)轉(zhuǎn)義提交的HTTP請(qǐng)求數(shù)據(jù),或者用stripslashes來(lái)刪除轉(zhuǎn)義
命令注入攻擊
PHP中可以使用下列5個(gè)函數(shù)來(lái)執(zhí)行外部的應(yīng)用程序或函數(shù)
system.exec.passthru.shell_exec.``(與shell_exec功能相同)
函數(shù)原型
string system(string command, int &return_var)
command 要執(zhí)行的命令
return_var 存放執(zhí)行命令的執(zhí)行后的狀態(tài)值
string exec (string command, array &output, int &return_var)
command 要執(zhí)行的命令
output 獲得執(zhí)行命令輸出的每一行字符串
return_var 存放執(zhí)行命令后的狀態(tài)值
void passthru (string command, int &return_var)
command 要執(zhí)行的命令
return_var 存放執(zhí)行命令后的狀態(tài)值
string shell_exec (string command)
command 要執(zhí)行的命令
漏洞實(shí)例
例1:
//ex1.php
$dir = $_GET["dir"];
if (isset($dir))
{
echo "
";
system("ls -al ".$dir);
echo "
";
}
?>
我們提交http://www.sectop.com/ex1.php?dir=| cat /etc/passwd
提交以后,命令變成了 system("ls -al | cat /etc/passwd");
eval注入攻擊
eval函數(shù)將輸入的字符串參數(shù)當(dāng)作PHP程序代碼來(lái)執(zhí)行
函數(shù)原型:
mixed eval(string code_str) //eval注入一般發(fā)生在攻擊者能控制輸入的字符串的時(shí)候
//ex2.php
$var = "var";
if (isset($_GET["arg"]))
{
$arg = $_GET["arg"];
eval("$var = $arg;");
echo "$var =".$var;
}
?>
當(dāng)我們提交 http://www.sectop.com/ex2.php?arg=phpinfo();漏洞就產(chǎn)生了
動(dòng)態(tài)函數(shù)
func A()
{
dosomething();
}
func B()
{
dosomething();
}
if (isset($_GET["func"]))
{
$myfunc = $_GET["func"];
echo $myfunc();
}
?>
程序員原意是想動(dòng)態(tài)調(diào)用A和B函數(shù),那我們提交http://www.sectop.com/ex.php?func=phpinfo 漏洞產(chǎn)生
防范方法
1.盡量不要執(zhí)行外部命令
2.使用自定義函數(shù)或函數(shù)庫(kù)來(lái)替代外部命令的功能
3.使用escapeshellarg函數(shù)來(lái)處理命令參數(shù)
4.使用safe_mode_exec_dir指定可執(zhí)行文件的路徑
esacpeshellarg函數(shù)會(huì)將任何引起參數(shù)或命令結(jié)束的字符轉(zhuǎn)義,單引號(hào)"'",替換成"'",雙引號(hào)""",替換成""",分號(hào)";"替換成";"
用safe_mode_exec_dir指定可執(zhí)行文件的路徑,可以把會(huì)使用的命令提前放入此路徑內(nèi)
safe_mode = On
safe_mode_exec_di r= /usr/local/php/bin/
客戶端腳本植入
客戶端腳本植入(script Insertion),是指將可以執(zhí)行的腳本插入到表單.圖片.動(dòng)畫(huà)或超鏈接文字等對(duì)象內(nèi).當(dāng)用戶打開(kāi)這些對(duì)象后,攻擊者所植入的腳本就會(huì)被執(zhí)行,進(jìn)而開(kāi)始攻擊.
可以被用作腳本植入的HTML標(biāo)簽一般包括以下幾種:
1. 無(wú)限彈框
插入 跳轉(zhuǎn)釣魚(yú)頁(yè)面
或者使用其他自行構(gòu)造的js代碼進(jìn)行攻擊
防范的方法
一般使用htmlspecialchars函數(shù)來(lái)將特殊字符轉(zhuǎn)換成HTML編碼
函數(shù)原型
string htmlspecialchars (string string, int quote_style, string charset)
string 是要編碼的字符串
quote_style 可選,值可為ENT_COMPAT ENT_QUOTES ENT_NOQUOTES,默認(rèn)值ENT_COMPAT,表示只轉(zhuǎn)換雙引號(hào)不轉(zhuǎn)換單引號(hào).ENT_QUOTES,表示雙引號(hào)和單引號(hào)都要轉(zhuǎn)換.ENT_NOQUOTES,表示雙引號(hào)和單引號(hào)都不轉(zhuǎn)換
charset 可選,表示使用的字符集
函數(shù)會(huì)將下列特殊字符轉(zhuǎn)換成html編碼:
& ----> &
" ----> "
' ----> '
< ----> <
> ----> >
把show.php的第98行改成
然后再查看插入js的漏洞頁(yè)面
xss跨站腳本攻擊
XSS(Cross Site scripting),意為跨網(wǎng)站腳本攻擊,為了和樣式表css(Cascading Style Sheet)區(qū)別,縮寫(xiě)為XSS
跨站腳本主要被攻擊者利用來(lái)讀取網(wǎng)站用戶的cookies或者其他個(gè)人數(shù)據(jù),一旦攻擊者得到這些數(shù)據(jù),那么他就可以偽裝成此用戶來(lái)登錄網(wǎng)站,獲得此用戶的權(quán)限.
跨站腳本攻擊的一般步驟:
1.攻擊者以某種方式發(fā)送xss的http鏈接給目標(biāo)用戶
2.目標(biāo)用戶登錄此網(wǎng)站,在登陸期間打開(kāi)了攻擊者發(fā)送的xss鏈接
3.網(wǎng)站執(zhí)行了此xss攻擊腳本
4.目標(biāo)用戶頁(yè)面跳轉(zhuǎn)到攻擊者的網(wǎng)站,攻擊者取得了目標(biāo)用戶的信息
5.攻擊者使用目標(biāo)用戶的信息登錄網(wǎng)站,完成攻擊
當(dāng)有存在跨站漏洞的程序出現(xiàn)的時(shí)候,攻擊者可以構(gòu)造類似 http://www.sectop.com/search.php?
key= ,誘騙用戶點(diǎn)擊后,可以獲取用戶cookies值
防范方法:
利用htmlspecialchars函數(shù)將特殊字符轉(zhuǎn)換成HTML編碼
函數(shù)原型
string htmlspecialchars (string string, int quote_style, string charset)
string 是要編碼的字符串
quote_style 可選,值可為ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES,默認(rèn)值ENT_COMPAT,表示只轉(zhuǎn)換雙引號(hào)不
轉(zhuǎn)換單引號(hào)。ENT_QUOTES,表示雙引號(hào)和單引號(hào)都要轉(zhuǎn)換。ENT_NOQUOTES,表示雙引號(hào)和單引號(hào)都不轉(zhuǎn)換
charset 可選,表示使用的字符集
函數(shù)會(huì)將下列特殊字符轉(zhuǎn)換成html編碼:
& ----> &
" ----> "
' ----> '
< ----> <
> ----> >
$_SERVER["PHP_SELF"]變量的跨站
在某個(gè)表單中,如果提交參數(shù)給自己,會(huì)用這樣的語(yǔ)句
" method="POST">
......
$_SERVER["PHP_SELF"]變量的值為當(dāng)前頁(yè)面名稱
例:
http://www.sectop.com/get.php
get.php中上述的表單
那么我們提交
http://www.sectop.com/get.php/">
那么表單變成
" method="POST">
跨站腳本被插進(jìn)去了
防御方法還是使用htmlspecialchars過(guò)濾輸出的變量,或者提交給自身文件的表單使用
這樣直接避免了$_SERVER["PHP_SELF"]變量被跨站
SQL注入攻擊
SQL注入攻擊(SQL Injection),是攻擊者在表單中提交精心構(gòu)造的sql語(yǔ)句,改變?cè)瓉?lái)的sql語(yǔ)句,如果web程序沒(méi)有對(duì)提交的數(shù)據(jù)經(jīng)過(guò)檢查,那么就會(huì)造成sql注入攻擊.
SQL注入攻擊的一般步驟:
1.攻擊者訪問(wèn)有SQL注入漏洞的網(wǎng)站,尋找注入點(diǎn)
2.攻擊者構(gòu)造注入語(yǔ)句,注入語(yǔ)句和程序中的SQL語(yǔ)句結(jié)合生成新的sql語(yǔ)句
3.新的sql語(yǔ)句被提交到數(shù)據(jù)庫(kù)中進(jìn)行處理
4.數(shù)據(jù)庫(kù)執(zhí)行了新的SQL語(yǔ)句,引發(fā)SQL注入攻擊
跨網(wǎng)站請(qǐng)求偽造
CSRF(Cross Site Request Forgeries),意為跨網(wǎng)站請(qǐng)求偽造,也有寫(xiě)為XSRF.攻擊者偽造目標(biāo)用戶的HTTP請(qǐng)求,然后此請(qǐng)求發(fā)送到有CSRF漏洞的網(wǎng)站,網(wǎng)站執(zhí)行此請(qǐng)求后,引發(fā)跨站請(qǐng)求偽造攻擊.攻擊者利用隱蔽的HTTP連接,讓目標(biāo)用戶在不注意的情況下單擊這個(gè)鏈接,由于是用戶自己點(diǎn)擊的,而他又是合法用戶擁有合法權(quán)限,所以目標(biāo)用戶能夠在網(wǎng)站內(nèi)執(zhí)行特定的HTTP鏈接,從而達(dá)到攻擊者的目的.
例如:某個(gè)購(gòu)物網(wǎng)站購(gòu)買(mǎi)商品時(shí),采用http://www.shop.com/buy.php?item=watch&num=1,item參數(shù)確定要購(gòu)買(mǎi)什么物品,num參數(shù)確定要購(gòu)買(mǎi)數(shù)量,如果攻擊者以隱藏的方式發(fā)送給目標(biāo)用戶鏈接
那么如果目標(biāo)用戶不小心點(diǎn)擊以后,購(gòu)買(mǎi)的數(shù)量就成了1000個(gè)
相關(guān)文章
- 偶爾在網(wǎng)上看到這些,拿來(lái)和大家一塊看看,也好讓各個(gè)站長(zhǎng)懂得保護(hù)自己的網(wǎng)站2012-10-16
- 安全狗是一款大家熟悉的服務(wù)器安全加固產(chǎn)品,據(jù)稱已經(jīng)擁有50W的用戶量。最近經(jīng)過(guò)一些研究,發(fā)現(xiàn)安全狗的一些防護(hù)功能,例如SQL注入、文件上傳、防webshell等都可以被繞過(guò)2014-07-17
中國(guó)移動(dòng)mas2.0平臺(tái)系統(tǒng)漏洞暴光 附修復(fù)方法
MAS是中國(guó)移動(dòng)的短信代理網(wǎng)關(guān)(平臺(tái))。MAS是Mobile Agent Server的簡(jiǎn)稱。目前多個(gè)政府部門(mén)、國(guó)有大型企業(yè)部門(mén)、運(yùn)營(yíng)商、金融部門(mén)都采用該平臺(tái)。MAS2.0是中國(guó)新一代的代理2012-05-11查找Centos Linux服務(wù)器上入侵者的WebShell后門(mén)
服務(wù)器被掛馬或被黑的朋友應(yīng)該知道,黑客入侵web服務(wù)器的第一目標(biāo)是往服務(wù)器上上傳一個(gè)webshell,有了webshell黑客就可以干更多的事 情2012-07-10惡意js腳本注入訪問(wèn)偽隨機(jī)域名的實(shí)例解析
我們的服務(wù)器又出入侵事故了。有客戶的html 網(wǎng)頁(yè)底部被插入了一段js 腳本, 導(dǎo)致訪客打開(kāi)網(wǎng)頁(yè)時(shí)被殺毒軟件警告網(wǎng)站上有惡意代碼2012-07-10- 漏洞說(shuō)明: php是一款被廣泛使用的編程語(yǔ)言,可以被嵌套在html里用做web程序開(kāi)發(fā)。phpinfo()是用來(lái)顯示當(dāng)前php環(huán)境的一個(gè)函數(shù),許多站點(diǎn)和程序都會(huì)將phpinfo放在自己2008-10-08
最新win2003 II6解析漏洞實(shí)戰(zhàn)及應(yīng)用
新 win2003 IIS6 解析漏洞,大家可以參考下,注意防范。2009-11-23服務(wù)器上網(wǎng)站被掛Iframe木馬的解決方法
今天訪問(wèn)公司的一個(gè)網(wǎng)站,突然發(fā)現(xiàn)網(wǎng)頁(yè)顯示不對(duì),右鍵查看HTML代碼,發(fā)現(xiàn)iframe了一個(gè)網(wǎng)站的js文件,不用說(shuō),肯定被掛馬了2014-07-31- 本文介紹了使用CSRF漏洞攻擊D-link路由器全過(guò)程,主要目的是如何通過(guò)CSRF漏洞實(shí)現(xiàn)遠(yuǎn)程管理訪問(wèn)D-link路由器,需要的朋友可以參考下2014-04-25
- 大部分的用戶可能不要了解文件上傳漏洞,下面小編就為大家具體的講解什么事文件上傳漏洞以及文件上傳漏洞的幾種方式2016-11-02