PHP代码审计

目的：对源代码进行审计，寻找代码中的BUG和安全漏洞

一.代码审计的基础

1.基础:

        html/js基础语法、PHP基础语法 ，面向对象思想，PHP小项目开发(Blog、注册登录、表单、文件上传、留言板等)，Web漏洞挖掘及利用，Web安全工具基本使用(burpsuite、sqlmap等)，代码审计工具(seay审计系统、zend studio+xdebug等)

2.代码审计两种基本方式：

• 通读全文源码：通读全文发作为一种最麻烦的方法也是最全面的审计方法。特别是针对大型程序，源码成千上万行。当然了解整个Web应用的业务逻辑，才能挖掘到更多更有价值的漏洞。
• 功能点审计：根据漏洞对应发生函数进行功能行审计，常会用到逆向溯源数据流方法进行审计。

3.代码审计两种基本方法：

• 正向追踪数据流：跟踪用户输入参数 -> 来到代码逻辑 -> 最后审计代码逻辑缺陷 -> 尝试构造payload
• 逆向溯源数据流：字符串搜索指定操作函数 -> 跟踪函数可控参数 -> 审计代码逻辑缺陷 -> 尝试构造payload

4.现cms可分大体两类：

• 单入口cms：不管访问哪个模块都使用同一个入口文件，常见的MVC框架采用这种模式。
• 多入口cms：每个模块都有一个入口文件(可以前端设置一个入口文件 index.php，后端创建一个入口文件admin.php，前后端的入口文件是独立的)。

二.代码审计的思路

1.确定要审计的源码是什么语言

2.确定该源码是单入口还是多入口

3.确定该语言的各种漏洞诞生的函数

三.php的弱类型

1.比较符号 == 与 ===

• == 在进行比较的时候，会先将字符串类型转化成相同，如果整型跟字符型比较字符或从左往右提取整型直到遇到字符结束，再比较。

• === 在进行比较的时候，会先判断两种字符串的类型是否相等，当等号两边类型不同时，会先转换为相同的类型，再对转换后的值进行比较，如果比较一个数字和字符串或者涉及到数字内容的字符串，则字符串会被转换成数值并且比较按照常数值进行比较.。

2.array_search 与 is_array

• is_array:判断传入的是不是一个数组。

• array_search（x，$数组）:在数组中寻找与指定值(x)相等的值，array_search函数 类似于"=="，会进行类型的转换。

if(!is_array($_GET['test'])){
exit();
}
​
$test = $_GET['test'];
​
for($i = 0;$i<count($test) ;$i++ ){
if($test[$i] === "admin"){
echo "error";
exit();
}
$test[$i] = intval($test[$i]);
}
​
if(array_search("admin",$test) === 0){
echo "flag";
}else{
echo "false";
}

我们可以传入test[]=0来进行绕过，首先test是一个数组，符合is_array的判断，然后test=0；在array_search中0==admin为true，绕过了array_search。

3.in_array()函数

• array_search()与in_array()也是一样的问题。

$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)); //true
var_dump(in_array('1bc', $array)); //true

4.is_numeric()函数

• 检测变量是否为数字或数字字符串,如果var是数字和数字字符串则返回TRUE,否则返回FALSE

$temp = $_GET['password'];
is_numeric($temp) ? die("no numeric") : NULL;
if($temp>9999){
echo '我giao';
}

通过输入一个大于9999