PHP網(wǎng)頁(yè)的安全性問(wèn)題
　　針對(duì)PHP的網(wǎng)站主要存在下面幾種攻擊方式:
　　1.命令注入(Command Injection)
　　2.eval注入(Eval Injection)
　　3.客戶端腳本攻擊(ｓｃｒｉｐｔ Insertion)
　　4.跨網(wǎng)站腳本攻擊(Cross Site ｓｃｒｉｐｔing, XSS)
　　5.SQL注入攻擊(SQL injection)
　　6.跨網(wǎng)站請(qǐng)求偽造攻擊(Cross Site Request Forgeries, CSRF)
　　7.Session 會(huì)話劫持(Session Hijacking)
　　8.Session 固定攻擊(Session Fixation)
　　9.HTTP響應(yīng)拆分攻擊(HTTP Response Splitting)
　　10.文件上傳漏洞(File Upload Attack)
　　11.目錄穿越漏洞(Directory Traversal)
　　12.遠(yuǎn)程文件包含攻擊(Remote Inclusion)
　　13.動(dòng)態(tài)函數(shù)注入攻擊(Dynamic Variable Evaluation)
　　14.URL攻擊(URL attack)
　　15.表單提交欺騙攻擊(Spoofed Form Submissions)
　　16.HTTP請(qǐng)求欺騙攻擊(Spoofed HTTP Requests)
　　幾個(gè)重要的php.ini選項(xiàng)
　　Register Globals
　　php>=4.2.0,php.ini的register_globals選項(xiàng)的默認(rèn)值預(yù)設(shè)為Off,當(dāng)register_globals的設(shè)定為On時(shí),程序可以接收來(lái)自服務(wù)器的各種環(huán)境變量,包括表單提交的變量,而且由于PHP不必事先初始化變量的值,從而導(dǎo)致很大的安全隱患.
　　例1:
　　//check_admin()用于檢查當(dāng)前用戶權(quán)限,如果是admin設(shè)置$is_admin變量為true,然后下面判斷此變量是否為true,然后執(zhí)行管理的一些操作
　　//ex1.php
　　
　　if (check_admin())
　　{
　　$is_admin = true;
　　}
　　if ($is_admin)
　　{
　　do_something();
　　}
　　?>
　　這一段代碼沒(méi)有將$is_admin事先初始化為Flase,如果register_globals為On,那么我們直接提交 http://www.sectop.com/ex1.php?is_admin=true,就可以繞過(guò)check_admin()的驗(yàn)證
　　例2:
　　//ex2.php
　　
　　if (isset($_SESSION["username"]))
　　{
　　do_something();
　　}
　　else
　　{
　　echo "您尚未登錄!";
　　}
　　?>
　　當(dāng)register_globals=On時(shí),我們提交http://www.sectop.com/ex2.php?_SESSION[username]=dodo,就具有了此用戶的權(quán)限
　　所以不管register_globals為什么,我們都要記住,對(duì)于任何傳輸?shù)臄?shù)據(jù)要經(jīng)過(guò)仔細(xì)驗(yàn)證,變量要初始化
　　safe_mode
　　安全模式,PHP用來(lái)限制文檔的存取.限制環(huán)境變量的存取,控制外部程序的執(zhí)行.啟用安全模式必須設(shè)置php.ini中的safe_mode = On
　　1.限制文件存取
　　safe_mode_include_dir = "/path1:/path2:/path3"
　　不同的文件夾用冒號(hào)隔開(kāi)
　　2.限制環(huán)境變量的存取
　　safe_mode_allowed_env_vars = string
　　指定PHP程序可以改變的環(huán)境變量的前綴,如:safe_mode_allowed_env_vars = PHP_ ,當(dāng)這個(gè)選項(xiàng)的值為空時(shí),那么php可以改變?nèi)魏苇h(huán)境變量
　　safe_mode_protected_env_vars = string
　　用來(lái)指定php程序不可改變的環(huán)境變量的前綴
　　3.限制外部程序的執(zhí)行
　　safe_mode_exec_dir = string
　　此選項(xiàng)指定的文件夾路徑影響system.exec.popen.passthru,不影響shell_exec和"` `".
　　disable_functions = string
　　不同的函數(shù)名稱用逗號(hào)隔開(kāi),此選項(xiàng)不受安全模式影響
　　magic quotes
　　用來(lái)讓php程序的輸入信息自動(dòng)轉(zhuǎn)義,所有的單引號(hào)("'"),雙引號(hào)("""),反斜杠("")和空字符(NULL),都自動(dòng)被加上反斜杠進(jìn)行轉(zhuǎn)義
　　magic_quotes_gpc = On 用來(lái)設(shè)置magic quotes 為On,它會(huì)影響HTTP請(qǐng)求的數(shù)據(jù)(GET.POST.Cookies)
　　程序員也可以使用addslashes來(lái)轉(zhuǎn)義提交的HTTP請(qǐng)求數(shù)據(jù),或者用stripslashes來(lái)刪除轉(zhuǎn)義
　　命令注入攻擊
　　PHP中可以使用下列5個(gè)函數(shù)來(lái)執(zhí)行外部的應(yīng)用程序或函數(shù)
　　system.exec.passthru.shell_exec.``(與shell_exec功能相同)
　　函數(shù)原型
　　string system(string command, int &return_var)
　　command 要執(zhí)行的命令
　　return_var 存放執(zhí)行命令的執(zhí)行后的狀態(tài)值
　　string exec (string command, array &output, int &return_var)
　　command 要執(zhí)行的命令
　　output 獲得執(zhí)行命令輸出的每一行字符串
　　return_var 存放執(zhí)行命令后的狀態(tài)值
　　void passthru (string command, int &return_var)
　　command 要執(zhí)行的命令
　　return_var 存放執(zhí)行命令后的狀態(tài)值
　　string shell_exec (string command)
　　command 要執(zhí)行的命令
　　漏洞實(shí)例
　　例1:
　　//ex1.php
　　
　　$dir = $_GET["dir"];
　　if (isset($dir))
　　{
　　echo "
";
　　system("ls -al ".$dir);
　　echo "
";
　　}
　　?>
　　我們提交http://www.sectop.com/ex1.php?dir=| cat /etc/passwd
　　提交以后,命令變成了 system("ls -al | cat /etc/passwd");
　　eval注入攻擊
　　eval函數(shù)將輸入的字符串參數(shù)當(dāng)作PHP程序代碼來(lái)執(zhí)行
　　函數(shù)原型:
　　mixed eval(string code_str) //eval注入一般發(fā)生在攻擊者能控制輸入的字符串的時(shí)候
　　//ex2.php
　　
　　$var = "var";
　　if (isset($_GET["arg"]))
　　{
　　$arg = $_GET["arg"];
　　eval("$var = $arg;");
　　echo "$var =".$var;
　　}
　　?>
　　當(dāng)我們提交 http://www.sectop.com/ex2.php?arg=phpinfo();漏洞就產(chǎn)生了
　　動(dòng)態(tài)函數(shù)
　　
　　func A()
　　{
　　dosomething();
　　}
　　func B()
　　{
　　dosomething();
　　}
　　if (isset($_GET["func"]))
　　{
　　$myfunc = $_GET["func"];
　　echo $myfunc();
　　}
　　?>
　　程序員原意是想動(dòng)態(tài)調(diào)用A和B函數(shù),那我們提交http://www.sectop.com/ex.php?func=phpinfo 漏洞產(chǎn)生
　　防范方法
　　1.盡量不要執(zhí)行外部命令
　　2.使用自定義函數(shù)或函數(shù)庫(kù)來(lái)替代外部命令的功能
　　3.使用escapeshellarg函數(shù)來(lái)處理命令參數(shù)
　　4.使用safe_mode_exec_dir指定可執(zhí)行文件的路徑
　　esacpeshellarg函數(shù)會(huì)將任何引起參數(shù)或命令結(jié)束的字符轉(zhuǎn)義,單引號(hào)"'",替換成"'",雙引號(hào)""",替換成""",分號(hào)";"替換成";"
　　用safe_mode_exec_dir指定可執(zhí)行文件的路徑,可以把會(huì)使用的命令提前放入此路徑內(nèi)
　　safe_mode = On
　　safe_mode_exec_di r= /usr/local/php/bin/
　　客戶端腳本植入
　　客戶端腳本植入(ｓｃｒｉｐｔ Insertion),是指將可以執(zhí)行的腳本插入到表單.圖片.動(dòng)畫(huà)或超鏈接文字等對(duì)象內(nèi).當(dāng)用戶打開(kāi)這些對(duì)象后,攻擊者所植入的腳本就會(huì)被執(zhí)行,進(jìn)而開(kāi)始攻擊.
　　可以被用作腳本植入的HTML標(biāo)簽一般包括以下幾種:
　　1. 無(wú)限彈框
　　插入 跳轉(zhuǎn)釣魚(yú)頁(yè)面
　　或者使用其他自行構(gòu)造的js代碼進(jìn)行攻擊
　　防范的方法
　　一般使用htmlspecialchars函數(shù)來(lái)將特殊字符轉(zhuǎn)換成HTML編碼
　　函數(shù)原型
　　string htmlspecialchars (string string, int quote_style, string charset)
　　string 是要編碼的字符串
　　quote_style 可選,值可為ENT_COMPAT ENT_QUOTES ENT_NOQUOTES,默認(rèn)值ENT_COMPAT,表示只轉(zhuǎn)換雙引號(hào)不轉(zhuǎn)換單引號(hào).ENT_QUOTES,表示雙引號(hào)和單引號(hào)都要轉(zhuǎn)換.ENT_NOQUOTES,表示雙引號(hào)和單引號(hào)都不轉(zhuǎn)換
　　charset 可選,表示使用的字符集
　　函數(shù)會(huì)將下列特殊字符轉(zhuǎn)換成html編碼:
　　& ----> &
　　" ----> "
　　' ----> '
　　< ----> <
　　> ----> >
　　把show.php的第98行改成
　　
　　然后再查看插入js的漏洞頁(yè)面
　　xss跨站腳本攻擊
　　XSS(Cross Site ｓｃｒｉｐｔing),意為跨網(wǎng)站腳本攻擊,為了和樣式表css(Cascading Style Sheet)區(qū)別,縮寫(xiě)為XSS
　　跨站腳本主要被攻擊者利用來(lái)讀取網(wǎng)站用戶的cookies或者其他個(gè)人數(shù)據(jù),一旦攻擊者得到這些數(shù)據(jù),那么他就可以偽裝成此用戶來(lái)登錄網(wǎng)站,獲得此用戶的權(quán)限.
　　跨站腳本攻擊的一般步驟:
　　1.攻擊者以某種方式發(fā)送xss的http鏈接給目標(biāo)用戶
　　2.目標(biāo)用戶登錄此網(wǎng)站,在登陸期間打開(kāi)了攻擊者發(fā)送的xss鏈接
　　3.網(wǎng)站執(zhí)行了此xss攻擊腳本
　　4.目標(biāo)用戶頁(yè)面跳轉(zhuǎn)到攻擊者的網(wǎng)站,攻擊者取得了目標(biāo)用戶的信息
　　5.攻擊者使用目標(biāo)用戶的信息登錄網(wǎng)站,完成攻擊
　　當(dāng)有存在跨站漏洞的程序出現(xiàn)的時(shí)候,攻擊者可以構(gòu)造類似 http://www.sectop.com/search.php?
　　key= ,誘騙用戶點(diǎn)擊后,可以獲取用戶cookies值
　　防范方法:
　　利用htmlspecialchars函數(shù)將特殊字符轉(zhuǎn)換成HTML編碼
　　函數(shù)原型
　　string htmlspecialchars (string string, int quote_style, string charset)
　　string 是要編碼的字符串
　　quote_style 可選,值可為ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES,默認(rèn)值ENT_COMPAT,表示只轉(zhuǎn)換雙引號(hào)不
　　轉(zhuǎn)換單引號(hào)。ENT_QUOTES,表示雙引號(hào)和單引號(hào)都要轉(zhuǎn)換。ENT_NOQUOTES,表示雙引號(hào)和單引號(hào)都不轉(zhuǎn)換
　　charset 可選,表示使用的字符集
　　函數(shù)會(huì)將下列特殊字符轉(zhuǎn)換成html編碼:
　　& ----> &
　　" ----> "
　　' ----> '
　　< ----> <
　　> ----> >
　　$_SERVER["PHP_SELF"]變量的跨站
　　在某個(gè)表單中,如果提交參數(shù)給自己,會(huì)用這樣的語(yǔ)句
　　
" method="POST">
　　......
　　
　　$_SERVER["PHP_SELF"]變量的值為當(dāng)前頁(yè)面名稱
　　例:
　　http://www.sectop.com/get.php
　　get.php中上述的表單
　　那么我們提交
　　http://www.sectop.com/get.php/">
　　那么表單變成
　　
" method="POST">
　　跨站腳本被插進(jìn)去了
　　防御方法還是使用htmlspecialchars過(guò)濾輸出的變量,或者提交給自身文件的表單使用
　　
　　這樣直接避免了$_SERVER["PHP_SELF"]變量被跨站
　　SQL注入攻擊
　　SQL注入攻擊(SQL Injection),是攻擊者在表單中提交精心構(gòu)造的sql語(yǔ)句,改變?cè)瓉?lái)的sql語(yǔ)句,如果web程序沒(méi)有對(duì)提交的數(shù)據(jù)經(jīng)過(guò)檢查,那么就會(huì)造成sql注入攻擊.
　　SQL注入攻擊的一般步驟:
　　1.攻擊者訪問(wèn)有SQL注入漏洞的網(wǎng)站,尋找注入點(diǎn)
　　2.攻擊者構(gòu)造注入語(yǔ)句,注入語(yǔ)句和程序中的SQL語(yǔ)句結(jié)合生成新的sql語(yǔ)句
　　3.新的sql語(yǔ)句被提交到數(shù)據(jù)庫(kù)中進(jìn)行處理
　　4.數(shù)據(jù)庫(kù)執(zhí)行了新的SQL語(yǔ)句,引發(fā)SQL注入攻擊
　　跨網(wǎng)站請(qǐng)求偽造
　　CSRF(Cross Site Request Forgeries),意為跨網(wǎng)站請(qǐng)求偽造,也有寫(xiě)為XSRF.攻擊者偽造目標(biāo)用戶的HTTP請(qǐng)求,然后此請(qǐng)求發(fā)送到有CSRF漏洞的網(wǎng)站，網(wǎng)站執(zhí)行此請(qǐng)求后，引發(fā)跨站請(qǐng)求偽造攻擊.攻擊者利用隱蔽的HTTP連接,讓目標(biāo)用戶在不注意的情況下單擊這個(gè)鏈接,由于是用戶自己點(diǎn)擊的,而他又是合法用戶擁有合法權(quán)限,所以目標(biāo)用戶能夠在網(wǎng)站內(nèi)執(zhí)行特定的HTTP鏈接,從而達(dá)到攻擊者的目的.
　　例如:某個(gè)購(gòu)物網(wǎng)站購(gòu)買(mǎi)商品時(shí),采用http://www.shop.com/buy.php?item=watch&num=1,item參數(shù)確定要購(gòu)買(mǎi)什么物品,num參數(shù)確定要購(gòu)買(mǎi)數(shù)量，如果攻擊者以隱藏的方式發(fā)送給目標(biāo)用戶鏈接
　　那么如果目標(biāo)用戶不小心點(diǎn)擊以后,購(gòu)買(mǎi)的數(shù)量就成了1000個(gè)

最新評(píng)論