这篇博客讨论了PHP程序中的两种常见安全漏洞:注入和跨站问题。通过实例代码展示了如何通过不恰当的变量处理导致SQL注入和跨站脚本(XSS)风险。作者提出了解决方案,如使用intval()函数防止整数注入,以及使用htmlspecialchars()过滤HTML实体以防止XSS攻击。同时,还提到了目录遍历漏洞,并给出了相应的预防措施,如过滤非法字符。
这些代码都是真实存在的漏洞代码,我想把他们收集起来,漏洞代码看多了势必提高自己的漏洞识别能力.至少当拿到一个待分析的程序时知道那些地方会出问题,从而有目的性的读.
1鸡肋的注入现在PHP程序能直接注入的情况已经很少了,即使你按默认安装PHP,MAGIC就是打开的,这样提交的单引
号就会被转义成\',这样就无法闭合单引号,也就不存在后面的查询,现在有好多程序都存在这种情况
,举个例子:if($_GET['x'] == "") {if($_GET['showimage'] == "") {$row = sql_array("select * from ".$pixelpost_db_prefix."pixelpost where
datetime<='$cdate' order by datetime DESC limit 0,1");} else {$row = sql_array("select * from ".$pixelpost_db_prefix."pixelpost where
(id='".$_GET['showimage']."')");}这样写程序的现在很多见的,说他是个漏洞,可利用价值很低;说他不是漏洞,可理论上确实存在注入
,很有点鸡肋的感觉,其实只需这样写就天下太平了:$row = sql_array("select * from ".$pixelpost_db_prefix."pixelpost where (intval
(id='".$_GET['showimage']."'))");
2跨站的问题出现跨站漏洞的代码多种多样,今天看到了一种就记录下来$message = isset($_POST['message']) ? $_POST['message'] : "";if (eregi("\r",$message) || eregi("\n",$message)){ die("No
intrusion! ?? :(");}$message = clean(nl2br($message),'html');
$name = isset($_POST['name']) ? $_POST['name'] : "";if (eregi("\r",$name) || eregi("\n",$name)){ die("No intrusion! ??
:(");}$name = clean($name,'html');
$url = isset($_POST['url']) ? $_POST['url'] : "";if (eregi("\r",$url) || eregi("\n",$url)){ die("No intrusion! ??
:(");}$url = clean($url,'html');
$parent_name = isset($_POST['parent_name']) ? $_POST['parent_name']
: "";if (eregi("\r",$parent_name) || eregi("\n",$parent_name)){ die("No
intrusion! ?? :(");}$parent_name = clean($parent_name);
$email = isset($_POST['email']) ? $_POST['email'] : "";if (eregi("\r",$email) || eregi("\n",$email)){ die("No intrusion!
?? :(");}$email = clean($email,'html');if(($parent_id != "") and ($message != "")) $query = "INSERT INTO
".$pixelpost_db_prefix."comments(id,parent_id,datetime,ip,message,name,url,email)VALUES('NULL','$parent_id','$datetime','$ip','$message','$name','$url','$email')";$result = mysql_query($query);clean()函数并不是过滤用的,以上程序只是用了个3元判断是否有$_POST[$var],如果有就赋值,然
后就提交到数据库里了。修补方法也很简单,可以用PHP自带的htmlspecialchars函数过滤掉HTML实体或者自己写过滤函数:function dangerchr($var){$var = str_replace("\t","",$msg);$var = str_replace("",">",$msg);$var = str_replace("\r","",$msg);$var = str_replace("\n","
",$msg);$var = str_replace(" "," ",$msg);}------来自PW的
3目录遍历漏洞:这类漏洞一般会出现在一些比较简单的留言日记类程序或者邮件列表程序中。Simplog是国外的一款基于PHP的日记程序。该程序中就出现了目录遍历漏洞漏洞代码如下:$act = $_GET['act'];if ($act == ''){include("blog.txt");}else{include("act/$act.txt");}?>$blog_id = $_GET['blogid']; if ($blog_id == ''){include("blog.txt");}else{include("./blog_entries/$blog_id.txt");} ?>从上面的代码可以清晰的看出问题所在,第一段程序获得$_GET[]提交的数据并赋值给$act,这里没有对
act做任何的过滤,而在后面判断如果变量为空就把blog.txt包含进来,如果不为空就包含act目录下的
$act.txt文件,这样当我们不管提交什么文件类型都会被加上.txt后缀,再加上我们可以用../来跳转到别的
目录,就可以遍历整个服务器上的文件了。第2段程序也是同样的漏洞,只不过变量变成数字型了,我们
一样可以构造类似于index.php?act=blog&blogid=../config.php这样的URL来读取敏感文件内容。
修补方法很简单,对于数字形的只需用intval()函数来把ID强制整形化就可以了,对于字符形的可以
用类似的代码来过滤$act = str_replace("../","",$act),当然这样写是不全面的,如有需要可以自定
义一个过滤的函数,把危险字符都替换掉。
小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!
免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!
扫一扫
129
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
