不是固若金湯,隨著PHP的廣泛運(yùn)用,一些黑客們也在無時(shí)不想找PHP的麻煩,通過PHP程序漏洞進(jìn)行攻擊就是其中一種。在節(jié),我們將從html' target='_blank'>全局變量,遠(yuǎn)程文件,文件上載,庫文件,Session文件,數(shù)據(jù)類型和容易出錯(cuò)的函數(shù)這幾個(gè)方面分析了PHP的安全性。如何通過全局變量進(jìn)行攻擊?PHP中的變量不需要事先聲明,它們會在第一次使用時(shí)自動創(chuàng)建,它們的類型根據(jù)上下文環(huán)境自動確定。從程序員的角度來看,這無疑是一種極其方便的處理方法。一旦一個(gè)變量被創(chuàng)建了,就可以在程序中的任何地方使用。這個(gè)特點(diǎn)導(dǎo)致的結(jié)果就是程序員很少初始化變量。很顯然,基于PHP的應(yīng)用程序的主函數(shù)一般都是接受用戶的輸入(主要是表單變量,上載文件和Cookie等),然后對輸入數(shù)據(jù)進(jìn)行處理,然后把結(jié)果返回到客戶端瀏覽器。為了使PHP代碼訪問用戶的輸入盡可能容易,實(shí)際上PHP是把這些輸入數(shù)據(jù)看作全局變量來處理的。例如: 復(fù)制代碼 代碼如下: FORM METHOD="GET" ACTION="test.php" INPUT TYPE="TEXT" NAME="hello" INPUT TYPE="SUBMIT" /FORM 這會顯示一個(gè)文本框和提交按鈕。當(dāng)用戶點(diǎn)擊提交按鈕時(shí),"test.php"會處理用戶的輸入,當(dāng)"test.php"運(yùn)行時(shí),"$hello"會包含用戶在文本框輸入的數(shù)據(jù)。從這里我們應(yīng)該看出,攻擊者可以按照自己的意愿創(chuàng)建任意的全局變量。如果攻擊者不是通過表單輸入來調(diào)用"test.php",而是直接在瀏覽器地址欄輸入http://server/test.php hello=hi&setup=no,那么,不止是"$hello"被創(chuàng)建,"$setup"也被創(chuàng)建了。下面的用戶認(rèn)證代碼暴露了PHP的全局變量所導(dǎo)致的安全問題: PHP代碼 復(fù)制代碼 代碼如下: php if ($pass == "hello") $auth = 1; ... if ($auth == 1) echo "some important information";
上面的代碼首先檢查用戶的密碼是否為"hello",如果匹配的話,設(shè)置"$auth"為"1",即通過認(rèn)證。之后如果"$suth"為"1"的話,就會顯示一些重要信息。這段代碼假定"$auth"在沒有設(shè)置值的時(shí)候是空的,但是攻擊者可以創(chuàng)建任何全局變量并賦值,通過類似"http://server/test.php auth=1"的方法,我們完全可以欺騙這段代碼,使它相信我們是已經(jīng)認(rèn)證過的。因此,為了提高PHP程序的安全性,我們不能相信任何沒有明確定義的變量。如果程序中的變量很多的話,這可是一項(xiàng)非常艱巨的任務(wù)。一種常用的保護(hù)方式就是檢查數(shù)組HTTP_GET[]或POST_VARS[]中的變量,這依賴于我們的提交方式(GET或POST)。當(dāng)PHP配置為打開"track_vars"選項(xiàng)的話(這是缺省值),用戶提交的變量就可以在全局變量和上面提到的數(shù)組中獲得。但是值得說明的是,PHP有四個(gè)不同的數(shù)組變量用來處理用戶的輸入。HTTP_GET_VARS數(shù)組用來處理GET方式提交的變量,HTTP_POST_VARS數(shù)組用于處理POST方式提交的變量;HTTP_COOKIE_VARS數(shù)組用于處理作為cookie頭提交的變量,而對于HTTP_POST_FILES數(shù)組(比較新的PHP才提供),則完全是用戶用來提交變量的一種可選方式。用戶的一個(gè)請求可以很容易的把變量存在這四個(gè)數(shù)組中,因此一個(gè)安全的PHP程序應(yīng)該檢查這四個(gè)數(shù)組。如何通過遠(yuǎn)程文件進(jìn)行攻擊?PHP是一種具有豐富特性的語言,提供了大量的函數(shù),使編程者很容易實(shí)現(xiàn)特定功能。但是從安全的角度來看,功能越多,要保證它的安全性就越難,遠(yuǎn)程文件就佐證這個(gè)問題的一個(gè)很好例子: 復(fù)制代碼 代碼如下: php if (!($fd = fopen("$filename", "r")) echo("Could not open file: $filename<BR>/n");
然后把"$libdir"設(shè)置為"http://<evilhost>/",這樣我們就可以在目標(biāo)主機(jī)上執(zhí)行上面的攻擊代碼,"/etc"目錄的內(nèi)容將作為結(jié)果返回到客戶的瀏覽器中。需要注意的是,攻擊代碼是不會在自身所在的服務(wù)器(也就是evilhost)上執(zhí)行執(zhí)行自身PHP程序的,否則,攻擊代碼會攻擊自身所在的服務(wù)器,而不是在目標(biāo)服務(wù)器執(zhí)行。如何通過文件上載進(jìn)行攻擊?PHP自動支持基于RFC 1867的文件上載,我們看下面的例子: 復(fù)制代碼 代碼如下: FORM METHOD="POST" ENCTYPE="multipart/form-data" INPUT TYPE="FILE" NAME="hello" INPUT TYPE="HIDDEN" NAME="MAX_FILE_SIZE" VALUE="10240" INPUT TYPE="SUBMIT" /FORM 上面的代碼讓用戶從本地機(jī)器選擇一個(gè)文件,當(dāng)點(diǎn)擊提交后,文件就會被上載到服務(wù)器。這顯然是很有用的功能,但是PHP的響應(yīng)方式將使這項(xiàng)功能變得不安全。當(dāng)PHP第一次接到這種請求,甚至在它開始解析被調(diào)用的PHP代碼之前,它會先接受遠(yuǎn)程用戶的文件,檢查文件的長度是否超過"$MAX_FILE_SIZE variable"定義的值,如果通過這些測試的話,文件就會被存在本地的一個(gè)臨時(shí)目錄中。 因此,攻擊者可以發(fā)送任意文件給運(yùn)行PHP的主機(jī),在PHP程序還沒有決定是否接受文件上載時(shí),文件已經(jīng)被存在服務(wù)器上了。讓我們考慮一下處理文件上載的PHP程序,正如我們上面說的,文件被接收并且是存在服務(wù)器上(位置是在配置文件中指定的,一般是/tmp),擴(kuò)展名一般是隨機(jī)的,類似"phpxXuoXG"的形式。PHP程序需要上載文件的信息以便處理它,這可以通過兩種方式,一種方式是在PHP3中已經(jīng)使用的,另一種是在我們對以前的方法提出安全公告后引入的。大多數(shù)PHP程序還是使用老的方式來處理上載文件。PHP設(shè)置了四個(gè)全局變量來描述上載文件,比如說上面的例子:復(fù)制代碼 代碼如下: $hello = Filename on local machine (e.g "/tmp/phpxXuoXG") $hello_size = Size in bytes of file (e.g 1024) $hello_name = The original name of the file on the remote system (e.g"c://temp//hello.txt") $hello_type = Mime type of uploaded file (e.g "text/plain") 然后,PHP程序開始處理根據(jù)"$hello"指定的文件。問題在于"$hello"不一定是一個(gè)PHP設(shè)置的變量,任何遠(yuǎn)程用戶都可以指定它。如果我們使用下面的方式:http://vulnhost/vuln.php hello=/etc/passwd&hello_size=10240&hello_type=text/plain&hello_name=hello.txt就導(dǎo)致了下面的PHP全局變量(當(dāng)然POST方式也可以(甚至是Cookie)): 復(fù)制代碼 代碼如下: $hello = "/etc/passwd" $hello_size = 10240 $hello_type = "text/plain" $hello_name = "hello.txt" 上面的表單數(shù)據(jù)正好滿足了PHP程序所期望的變量,但是這時(shí)PHP程序不再處理本應(yīng)在上載者本機(jī)上的上載文件,而是處理服務(wù)器上"/etc/passwd"(通常會導(dǎo)致內(nèi)容暴露)文件。這種攻擊可以用于暴露任何敏感文件的內(nèi)容。新版本的PHP使用HTTP_POST_FILES[]來決定上載文件,同時(shí)也提供了很多函數(shù)來解決這個(gè)問題,例如有一個(gè)函數(shù)用來判斷某個(gè)文件是不是實(shí)際上載的文件。但是實(shí)際上肯定有很多PHP程序仍然使用舊的方法,所以也很容易受到這種攻擊。作為文件上載的攻擊方法的一個(gè)變種,我們看一下下面的一段代碼: 復(fù)制代碼 代碼如下: php if (file_exists($theme)) // Checks the file exists on the local system (noremote files) include("$theme");
當(dāng)"libdir/loadlanguage.php"被"main.php"調(diào)用時(shí)是相當(dāng)安全的,但是因?yàn)?libdir /loadlanguage"具有".php"的擴(kuò)展名,因此遠(yuǎn)程攻擊者可以直接請求這個(gè)文件,并且可以任意指定"$langDir" 和"$userLang"的值。如何通過Session文件進(jìn)行攻擊?PHP 4或更新的版本提供了對sessions的支持,它的主要作用是在PHP程序中保存頁與頁之間的狀態(tài)信息。例如,當(dāng)一個(gè)用戶登陸進(jìn)入網(wǎng)站,他登陸了的這個(gè)事實(shí)以及誰登陸進(jìn)入這個(gè)網(wǎng)站的相關(guān)信息都將被保存在session中,當(dāng)他在網(wǎng)站中到處瀏覽時(shí),所有的PHP代碼都可以獲得這些狀態(tài)信息。事實(shí)上,當(dāng)一個(gè)session啟動時(shí)(實(shí)際上是在配置文件中設(shè)置為在第一次請求時(shí)自動啟動),就會生成一個(gè)隨機(jī)的"session id",如果遠(yuǎn)程瀏覽器總是在發(fā)送請求時(shí)提交這個(gè)"session id"的話,session就會一直保持。這通過Cookie很容易實(shí)現(xiàn),也可以通過在每頁提交一個(gè)表單變量(包含"session id")來實(shí)現(xiàn)。PHP程序可以用session注冊一個(gè)特殊的變量,它的值會在每個(gè)PHP腳本結(jié)束后存在session文件中,也會在每個(gè)PHP腳本開始前加載到變量中。下面是一個(gè)簡單的例子:復(fù)制代碼 代碼如下: php session_destroy(); // Kill any data currently in the session $session_auth = "shaun"; session_register("session_auth"); // Register $session_auth as a session variable
新版本的PHP都會自動把"$session_auth"的值設(shè)置為"shaun",如果它們被修改的話,以后的腳本都會自動接受修改后的值,這對無狀態(tài)的Web來說的確是種很不錯(cuò)的工具,但是我們也應(yīng)該小心。一個(gè)很明顯的問題就是確保變量的確來自session,例如,給定上面的代碼,如果后續(xù)的腳本是下面這樣的話: 復(fù)制代碼 代碼如下: php if (!emptyempty($session_auth)) // Grant access to site here
