PHP網(wǎng)頁的安全性問題
　　針對PHP的網(wǎng)站主要存在下面幾種攻擊方式:
　　1.命令注入(Command Injection)
　　2.eval注入(Eval Injection)
　　3.客戶端腳本攻擊(ｓｃｒｉｐｔ Insertion)
　　4.跨網(wǎng)站腳本攻擊(Cross Site ｓｃｒｉｐｔing, XSS)
　　5.SQL注入攻擊(SQL injection)
　　6.跨網(wǎng)站請求偽造攻擊(Cross Site Request Forgeries, CSRF)
　　7.Session 會話劫持(Session Hijacking)
　　8.Session 固定攻擊(Session Fixation)
　　9.HTTP響應拆分攻擊(HTTP Response Splitting)
　　10.文件上傳漏洞(File Upload Attack)
　　11.目錄穿越漏洞(Directory Traversal)
　　12.遠程文件包含攻擊(Remote Inclusion)
　　13.動態(tài)函數(shù)注入攻擊(Dynamic Variable Evaluation)
　　14.URL攻擊(URL attack)
　　15.表單提交欺騙攻擊(Spoofed Form Submissions)
　　16.HTTP請求欺騙攻擊(Spoofed HTTP Requests)
　　幾個重要的php.ini選項
　　Register Globals
　　php>=4.2.0,php.ini的register_globals選項的默認值預設為Off,當register_globals的設定為On時,程序可以接收來自服務器的各種環(huán)境變量,包括表單提交的變量,而且由于PHP不必事先初始化變量的值,從而導致很大的安全隱患.
　　例1:
　　//check_admin()用于檢查當前用戶權(quán)限,如果是admin設置$is_admin變量為true,然后下面判斷此變量是否為true,然后執(zhí)行管理的一些操作
　　//ex1.php
　　
　　if (check_admin())
　　{
　　$is_admin = true;
　　}
　　if ($is_admin)
　　{
　　do_something();
　　}
　　?>
　　這一段代碼沒有將$is_admin事先初始化為Flase,如果register_globals為On,那么我們直接提交 http://www.sectop.com/ex1.php?is_admin=true,就可以繞過check_admin()的驗證
　　例2:
　　//ex2.php
　　
　　if (isset($_SESSION["username"]))
　　{
　　do_something();
　　}
　　else
　　{
　　echo "您尚未登錄!";
　　}
　　?>
　　當register_globals=On時,我們提交http://www.sectop.com/ex2.php?_SESSION[username]=dodo,就具有了此用戶的權(quán)限
　　所以不管register_globals為什么,我們都要記住,對于任何傳輸?shù)臄?shù)據(jù)要經(jīng)過仔細驗證,變量要初始化
　　safe_mode
　　安全模式,PHP用來限制文檔的存取.限制環(huán)境變量的存取,控制外部程序的執(zhí)行.啟用安全模式必須設置php.ini中的safe_mode = On
　　1.限制文件存取
　　safe_mode_include_dir = "/path1:/path2:/path3"
　　不同的文件夾用冒號隔開
　　2.限制環(huán)境變量的存取
　　safe_mode_allowed_env_vars = string
　　指定PHP程序可以改變的環(huán)境變量的前綴,如:safe_mode_allowed_env_vars = PHP_ ,當這個選項的值為空時,那么php可以改變?nèi)魏苇h(huán)境變量
　　safe_mode_protected_env_vars = string
　　用來指定php程序不可改變的環(huán)境變量的前綴
　　3.限制外部程序的執(zhí)行
　　safe_mode_exec_dir = string
　　此選項指定的文件夾路徑影響system.exec.popen.passthru,不影響shell_exec和"` `".
　　disable_functions = string
　　不同的函數(shù)名稱用逗號隔開,此選項不受安全模式影響
　　magic quotes
　　用來讓php程序的輸入信息自動轉(zhuǎn)義,所有的單引號("'"),雙引號("""),反斜杠("")和空字符(NULL),都自動被加上反斜杠進行轉(zhuǎn)義
　　magic_quotes_gpc = On 用來設置magic quotes 為On,它會影響HTTP請求的數(shù)據(jù)(GET.POST.Cookies)
　　程序員也可以使用addslashes來轉(zhuǎn)義提交的HTTP請求數(shù)據(jù),或者用stripslashes來刪除轉(zhuǎn)義
　　命令注入攻擊
　　PHP中可以使用下列5個函數(shù)來執(zhí)行外部的應用程序或函數(shù)
　　system.exec.passthru.shell_exec.``(與shell_exec功能相同)
　　函數(shù)原型
　　string system(string command, int &return_var)
　　command 要執(zhí)行的命令
　　return_var 存放執(zhí)行命令的執(zhí)行后的狀態(tài)值
　　string exec (string command, array &output, int &return_var)
　　command 要執(zhí)行的命令
　　output 獲得執(zhí)行命令輸出的每一行字符串
　　return_var 存放執(zhí)行命令后的狀態(tài)值
　　void passthru (string command, int &return_var)
　　command 要執(zhí)行的命令
　　return_var 存放執(zhí)行命令后的狀態(tài)值
　　string shell_exec (string command)
　　command 要執(zhí)行的命令
　　漏洞實例
　　例1:
　　//ex1.php
　　
　　$dir = $_GET["dir"];
　　if (isset($dir))
　　{
　　echo "
";
　　system("ls -al ".$dir);
　　echo "
";
　　}
　　?>
　　我們提交http://www.sectop.com/ex1.php?dir=| cat /etc/passwd
　　提交以后,命令變成了 system("ls -al | cat /etc/passwd");
　　eval注入攻擊
　　eval函數(shù)將輸入的字符串參數(shù)當作PHP程序代碼來執(zhí)行
　　函數(shù)原型:
　　mixed eval(string code_str) //eval注入一般發(fā)生在攻擊者能控制輸入的字符串的時候
　　//ex2.php
　　
　　$var = "var";
　　if (isset($_GET["arg"]))
　　{
　　$arg = $_GET["arg"];
　　eval("$var = $arg;");
　　echo "$var =".$var;
　　}
　　?>
　　當我們提交 http://www.sectop.com/ex2.php?arg=phpinfo();漏洞就產(chǎn)生了
　　動態(tài)函數(shù)
　　
　　func A()
　　{
　　dosomething();
　　}
　　func B()
　　{
　　dosomething();
　　}
　　if (isset($_GET["func"]))
　　{
　　$myfunc = $_GET["func"];
　　echo $myfunc();
　　}
　　?>
　　程序員原意是想動態(tài)調(diào)用A和B函數(shù),那我們提交http://www.sectop.com/ex.php?func=phpinfo 漏洞產(chǎn)生
　　防范方法
　　1.盡量不要執(zhí)行外部命令
　　2.使用自定義函數(shù)或函數(shù)庫來替代外部命令的功能
　　3.使用escapeshellarg函數(shù)來處理命令參數(shù)
　　4.使用safe_mode_exec_dir指定可執(zhí)行文件的路徑
　　esacpeshellarg函數(shù)會將任何引起參數(shù)或命令結(jié)束的字符轉(zhuǎn)義,單引號"'",替換成"'",雙引號""",替換成""",分號";"替換成";"
　　用safe_mode_exec_dir指定可執(zhí)行文件的路徑,可以把會使用的命令提前放入此路徑內(nèi)
　　safe_mode = On
　　safe_mode_exec_di r= /usr/local/php/bin/
　　客戶端腳本植入
　　客戶端腳本植入(ｓｃｒｉｐｔ Insertion),是指將可以執(zhí)行的腳本插入到表單.圖片.動畫或超鏈接文字等對象內(nèi).當用戶打開這些對象后,攻擊者所植入的腳本就會被執(zhí)行,進而開始攻擊.
　　可以被用作腳本植入的HTML標簽一般包括以下幾種:
　　1. 無限彈框
　　插入 跳轉(zhuǎn)釣魚頁面
　　或者使用其他自行構(gòu)造的js代碼進行攻擊
　　防范的方法
　　一般使用htmlspecialchars函數(shù)來將特殊字符轉(zhuǎn)換成HTML編碼
　　函數(shù)原型
　　string htmlspecialchars (string string, int quote_style, string charset)
　　string 是要編碼的字符串
　　quote_style 可選,值可為ENT_COMPAT ENT_QUOTES ENT_NOQUOTES,默認值ENT_COMPAT,表示只轉(zhuǎn)換雙引號不轉(zhuǎn)換單引號.ENT_QUOTES,表示雙引號和單引號都要轉(zhuǎn)換.ENT_NOQUOTES,表示雙引號和單引號都不轉(zhuǎn)換
　　charset 可選,表示使用的字符集
　　函數(shù)會將下列特殊字符轉(zhuǎn)換成html編碼:
　　& ----> &
　　" ----> "
　　' ----> '
　　< ----> <
　　> ----> >
　　把show.php的第98行改成
　　
　　然后再查看插入js的漏洞頁面
　　xss跨站腳本攻擊
　　XSS(Cross Site ｓｃｒｉｐｔing),意為跨網(wǎng)站腳本攻擊,為了和樣式表css(Cascading Style Sheet)區(qū)別,縮寫為XSS
　　跨站腳本主要被攻擊者利用來讀取網(wǎng)站用戶的cookies或者其他個人數(shù)據(jù),一旦攻擊者得到這些數(shù)據(jù),那么他就可以偽裝成此用戶來登錄網(wǎng)站,獲得此用戶的權(quán)限.
　　跨站腳本攻擊的一般步驟:
　　1.攻擊者以某種方式發(fā)送xss的http鏈接給目標用戶
　　2.目標用戶登錄此網(wǎng)站,在登陸期間打開了攻擊者發(fā)送的xss鏈接
　　3.網(wǎng)站執(zhí)行了此xss攻擊腳本
　　4.目標用戶頁面跳轉(zhuǎn)到攻擊者的網(wǎng)站,攻擊者取得了目標用戶的信息
　　5.攻擊者使用目標用戶的信息登錄網(wǎng)站,完成攻擊
　　當有存在跨站漏洞的程序出現(xiàn)的時候,攻擊者可以構(gòu)造類似 http://www.sectop.com/search.php?
　　key= ,誘騙用戶點擊后,可以獲取用戶cookies值
　　防范方法:
　　利用htmlspecialchars函數(shù)將特殊字符轉(zhuǎn)換成HTML編碼
　　函數(shù)原型
　　string htmlspecialchars (string string, int quote_style, string charset)
　　string 是要編碼的字符串
　　quote_style 可選,值可為ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES,默認值ENT_COMPAT,表示只轉(zhuǎn)換雙引號不
　　轉(zhuǎn)換單引號。ENT_QUOTES,表示雙引號和單引號都要轉(zhuǎn)換。ENT_NOQUOTES,表示雙引號和單引號都不轉(zhuǎn)換
　　charset 可選,表示使用的字符集
　　函數(shù)會將下列特殊字符轉(zhuǎn)換成html編碼:
　　& ----> &
　　" ----> "
　　' ----> '
　　< ----> <
　　> ----> >
　　$_SERVER["PHP_SELF"]變量的跨站
　　在某個表單中,如果提交參數(shù)給自己,會用這樣的語句
　　
" method="POST">
　　......
　　
　　$_SERVER["PHP_SELF"]變量的值為當前頁面名稱
　　例:
　　http://www.sectop.com/get.php
　　get.php中上述的表單
　　那么我們提交
　　http://www.sectop.com/get.php/">
　　那么表單變成
　　
" method="POST">
　　跨站腳本被插進去了
　　防御方法還是使用htmlspecialchars過濾輸出的變量,或者提交給自身文件的表單使用
　　
　　這樣直接避免了$_SERVER["PHP_SELF"]變量被跨站
　　SQL注入攻擊
　　SQL注入攻擊(SQL Injection),是攻擊者在表單中提交精心構(gòu)造的sql語句,改變原來的sql語句,如果web程序沒有對提交的數(shù)據(jù)經(jīng)過檢查,那么就會造成sql注入攻擊.
　　SQL注入攻擊的一般步驟:
　　1.攻擊者訪問有SQL注入漏洞的網(wǎng)站,尋找注入點
　　2.攻擊者構(gòu)造注入語句,注入語句和程序中的SQL語句結(jié)合生成新的sql語句
　　3.新的sql語句被提交到數(shù)據(jù)庫中進行處理
　　4.數(shù)據(jù)庫執(zhí)行了新的SQL語句,引發(fā)SQL注入攻擊
　　跨網(wǎng)站請求偽造
　　CSRF(Cross Site Request Forgeries),意為跨網(wǎng)站請求偽造,也有寫為XSRF.攻擊者偽造目標用戶的HTTP請求,然后此請求發(fā)送到有CSRF漏洞的網(wǎng)站，網(wǎng)站執(zhí)行此請求后，引發(fā)跨站請求偽造攻擊.攻擊者利用隱蔽的HTTP連接,讓目標用戶在不注意的情況下單擊這個鏈接,由于是用戶自己點擊的,而他又是合法用戶擁有合法權(quán)限,所以目標用戶能夠在網(wǎng)站內(nèi)執(zhí)行特定的HTTP鏈接,從而達到攻擊者的目的.
　　例如:某個購物網(wǎng)站購買商品時,采用http://www.shop.com/buy.php?item=watch&num=1,item參數(shù)確定要購買什么物品,num參數(shù)確定要購買數(shù)量，如果攻擊者以隱藏的方式發(fā)送給目標用戶鏈接
　　那么如果目標用戶不小心點擊以后,購買的數(shù)量就成了1000個

最新評論