#代码审计学习#基础漏洞挖掘与防范

SQL注入漏洞

• 攻击方式
  • 在权限比较大的情况下，通过SQL注入直接写入webshell，或者直接执行系统命令
  • 在权限比较小的情况下，通过注入获得管理员的密码等信息。或修改数据库内容进行一些钓鱼或者其他间接利用

挖掘

1.普通注入

• 最容易利用的sql注入漏洞
• 有int型和string型，string型需要单或双引号闭合
• 常见关键字：union, select from, update, delete, insert等

2. 编码注入

• 宽字节注入
  • PHP连接MySQL时，设置set character_set_client=gbk 会导致一个编码转换的注入问题
  • 注入参数里带%df%27即可把程序中过滤的\吃掉
  • 解决方法：
    • 在执行查询之前先执行SET NAMES 'gbk',character_set_client=binary
    • 使用mysql_set_charset('gbk')设置编码,使用mysql_real_escape_string()函数被参数过滤
    • 使用pdo方式来禁用prepared ststements的仿真效果
• 二次urldecode注入
  • 如果某处使用了urldecode或rawurldecode函数，则会导致二次解码生成单引号而引发注入

防范

gpc/rutime 魔术引导

• 数据污染通常有两种方式
  • 一种是应用被动接受参数，类似GET，POST
  • 一种是主动获取参数，类似读取远程页面或者文件内容
• magic_quotes_gpc(魔术引号自动过滤)和magic_quotes_runtime(魔术引号自动过滤)
• 区别后者只对从数据库或者文件中获取的数据进行过滤

过滤函数和类

• 两种使用场景
  • 一种是程序入口统一过滤
  • 一种是在程序进行SQL语句运行之前使用
• addslashes函数
  • 过滤的值范围和GPC一样
  • 只是简单的检查参数的函数
  • 参数必须是string型，可绕过
• mysql_[real_]escape_string函数
  • 对字符串进行过滤
• intval等字符转换
  • 将变量转换成int类型
  • 利用参数类型白名单的方式来防止漏洞

XSS漏洞

挖掘

反射型

• 通过外部输入然后直接在浏览器端触发
• 可以通过带有参数的输出函数，根据输出函数对输出内容回溯输入参数

存储型

• 先利用代码保存在数据库或文件中，当web程序读取利用代码并输出在页面上是触发

防范

• 特殊字符HTML实体转码

'
"
<>
\
:
&
#

CSRF漏洞

挖掘

• 越权操作，因此漏洞在权限控制的地方

防范

• Token验证

<?php
sessin_start();
function set_token(){
$_SESSION['token'] = md5(time()+rand(1,1000));
}
function check_token(){
       if(isset($_POST['token'])&&_POST['token'] === $_$SESSION['token'])
       {
              return true;
       }
       else{
             return false;
        }
}

if(isset($_SESSION['token'])&&check_token()){
    echo"success";
}
else{
    echo"failed";
 }
 set_token();
 ?>
 
<form method="post">
      <input type="hidden" name="token" value="<?=$_SESSION['token']?>">
      <input type="submit"/>
</form>     

• 验证码验证