本篇內(nèi)容主要講解“PHP代碼審計(jì)要點(diǎn)是什么”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實(shí)用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“PHP代碼審計(jì)要點(diǎn)是什么”吧!
成都創(chuàng)新互聯(lián)于2013年創(chuàng)立,先為酉陽土家族苗族等服務(wù)建站,酉陽土家族苗族等地企業(yè),進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為酉陽土家族苗族企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。
隨著代碼安全的普及,越來越多的開發(fā)人員知道了如何防御sqli、xss等與語言無關(guān)的漏洞,但是對(duì)于和開發(fā)語言本身相關(guān)的一些漏洞和缺陷卻知之甚少,于是這些點(diǎn)也就是我們?cè)贑ode audit的時(shí)候的重點(diǎn)關(guān)注點(diǎn)。本文旨在總結(jié)一些在PHP代碼中經(jīng)常造成問題的點(diǎn),也是我們?cè)趯徲?jì)的時(shí)候的關(guān)注重點(diǎn)。(PS:本文也只是簡單的列出問題,至于造成問題的底層原因未做詳細(xì)解釋)
本文若有寫錯(cuò)的地方,還請(qǐng)各位大佬斧正:
1、代碼審計(jì)定義
代碼審計(jì) 是指對(duì)源代碼進(jìn)行檢查,尋找代碼中的bug,這里主要尋到可導(dǎo)致安全問題的bug。
這是一項(xiàng)需要多方面技能的技術(shù),包括對(duì)編程的掌握(能看懂代碼的邏輯)、漏洞形成原理的理解、系統(tǒng)和中間件等的熟悉。
2、代碼審計(jì)思路
1)逆向追蹤
檢查敏感函數(shù)的參數(shù),然后回溯變量,判斷變量是否可控并且沒有經(jīng)過嚴(yán)格過濾。
2)正向追蹤
先找出哪些文件在接受外部傳輸?shù)暮瘮?shù),然后跟蹤變量傳遞的過程,觀察是否有變量傳入到高危函數(shù)里邊,或者傳遞過程中是否有代碼邏輯漏洞。這種正向追蹤的方式,比逆向追蹤挖掘得更全。
3)經(jīng)驗(yàn)判斷直接挖掘功能點(diǎn)漏洞
根據(jù)自身的經(jīng)驗(yàn)判斷該類應(yīng)用通常在哪些功能中會(huì)出現(xiàn)漏洞,直接全篇閱讀該功能代碼。
3、PHP代碼審計(jì)需要掌握好以下(其他語言類似)
1)PHP編程語言的特性和基礎(chǔ)
2)Web前端編程基礎(chǔ)
3)漏洞形成原理
4)代碼審計(jì)思路
5)不同系統(tǒng)、中間件之間的特性差異。
TODO: 繼續(xù)豐富并增加各個(gè)點(diǎn)的實(shí)際漏洞事例
file_put_contents、copy、file_get_contents等讀取寫入操作與unlink、file_exists等刪除判斷文件函數(shù)之間對(duì)于路徑處理的差異導(dǎo)致的刪除繞過
extract()、parse_str() 等變量覆蓋
extract函數(shù)從數(shù)組導(dǎo)入變量(如$_GET、 $_POST),將數(shù)組的鍵名作為變量的值。而parse_str函數(shù)則是從類似name=Bill&age=60的格式字符串解析變量.如果在使用第一個(gè)函數(shù)沒有設(shè)置EXTR_SKIP或者EXTR_PREFIX_SAME等處理變量沖突的參數(shù)時(shí)、第二個(gè)函數(shù)沒有使用數(shù)組接受變量時(shí)將會(huì)導(dǎo)致變量覆蓋的問題
intval()整數(shù)溢出、向下取整和整形判斷的問題
32位系統(tǒng)最大的帶符號(hào)范圍為-2147483648 到 2147483647,64位最大的是 9223372036854775807,因此,在32位系統(tǒng)上 intval(‘1000000000000’) 會(huì)返回 2147483647此外intval(10.99999)會(huì)返回10,intval和int等取整都是’截?cái)唷≌?,并不是四舍五入intval函數(shù)進(jìn)去取整時(shí),是直到遇上數(shù)字或者正負(fù)號(hào)才開始進(jìn)行轉(zhuǎn)換,之后在遇到非數(shù)字或者結(jié)束符號(hào)(\0)時(shí)結(jié)束轉(zhuǎn)換
浮點(diǎn)數(shù)精度問題導(dǎo)致的大小比較問題
當(dāng)小數(shù)小于10^-16后,PHP對(duì)于小數(shù)就大小不分了
var_dump(1.000000000000000 == 1) >> TRUE var_dump(1.0000000000000001 == 1) >> TRUE is_numeric()與intval()特性差異 is_numeric函數(shù)在判斷是否是數(shù)字時(shí)會(huì)忽略字符串開頭的’ ‘、’\t’、’\n’、’\r’、’\v’、’\f’。而’.’可以出現(xiàn)在任意位置,E、e能出現(xiàn)在參數(shù)中間,仍可以被判斷為數(shù)字。也就是說is_numeric(“\r\n\t 0.1e2”) >> TRUE intval()函數(shù)會(huì)忽略’’ ‘\n’、’\r’、’\t’、’\v’、’\0’ ,也就是說intval(“\r\n\t 12”) >> 12
strcmp()數(shù)組比較繞過
int strcmp ( string $ str1 , string $str2 )
參數(shù) str1第一個(gè)字符串。str2第二個(gè)字符串。如果 str1 小于 str2 返回 < 0;
如果 str1 大于 str2 返回 > 0;如果兩者相等,返回 0。
但是如果傳入的兩個(gè)變量是數(shù)組的話,函數(shù)會(huì)報(bào)錯(cuò)返回NULL,如果只是用strcmp()==0來判斷的話就可以繞過
sha1()、md5() 函數(shù)傳入數(shù)組比較繞過
sha1() MD5()函數(shù)默認(rèn)接收的參數(shù)是字符串類型,但是如果如果傳入的參數(shù)是數(shù)組的話,函數(shù)就會(huì)報(bào)錯(cuò)返回NULL。類似sha1($_GET[‘name’]) === sha1($_GET[‘password’])的比較就可以繞過
弱類型==比較繞過
這方面問題普及的很多,不作過多的解釋
md5(‘240610708’); // 0e462097431906509019562988736854md5(‘QNKCDZO’); // 0e830400451993494058024219903391md5(‘240610708’) == md5(‘QNKCDZO’)md5(‘a(chǎn)abg7XSs’) == md5(‘a(chǎn)abC9RqS’)sha1(‘a(chǎn)aroZmOk’) == sha1(‘a(chǎn)aK1STfY’)sha1(‘a(chǎn)aO8zKZF’) == sha1(‘a(chǎn)a3OFF9m’)‘0010e2’ == ‘1e3’ ‘0x1234Ab’ == ‘1193131‘ ‘0xABCdef’ == ‘ 0xABCdef’
當(dāng)轉(zhuǎn)換為boolean時(shí),以下只被認(rèn)為是FALSE:FALSE、0、0.0、“”、“0”、array()、NULL
PHP 7 以前的版本里,如果向八進(jìn)制數(shù)傳遞了一個(gè)非法數(shù)字(即 8 或 9),則后面其余數(shù)字會(huì)被忽略。var_dump(0123)=var_dump(01239)=83
PHP 7 以后,會(huì)產(chǎn)生 Parse Error。
字符串轉(zhuǎn)換為數(shù)值時(shí),若字符串開頭有數(shù)字,則轉(zhuǎn)為數(shù)字并省略后面的非數(shù)字字符。若一開頭沒有數(shù)字則轉(zhuǎn)換為0
\$foo = 1 + “bob-1.3e3”; // $foo is integer (1) \$foo = 1 + “bob3”; // $foo is integer (1) \$foo = 1 + “10 Small Pigs”; // $foo is integer (11) ‘’ == 0 == false‘123’ == 123 ‘a(chǎn)bc’ == 0 ‘123a’ == 123 ‘0x01’ == 1 ‘0e123456789’ == ‘0e987654321’ [false] == [0] == [NULL] == [‘’] NULL == false == 0? true ==1
eregi()匹配繞過
eregi()默認(rèn)接收字符串參數(shù),如果傳入數(shù)組,函數(shù)會(huì)報(bào)錯(cuò)并返回NULL。同時(shí)還可以%00 截?cái)噙M(jìn)行繞過
PHP變量名不能帶有點(diǎn)[.] 和空格,否則在會(huì)被轉(zhuǎn)化為下劃線[_]
parse_str("na.me=admin&pass wd=123",$test); var_dump($test); array(2) { ["na_me"]=> string(5) "admin" ["pass_wd"]=> string(3) "123"
in_arrary()函數(shù)默認(rèn)進(jìn)行松散比較(進(jìn)行類型轉(zhuǎn)換)
in_arrary(“1asd”,arrart(1,2,3,4)) => truein_arrary(“1asd”,arrart(1,2,3,4),TRUE) => false \\(需要設(shè)置strict參數(shù)為true才會(huì)進(jìn)行嚴(yán)格比較,進(jìn)行類型檢測)htmlspecialchars()函數(shù)默認(rèn)只轉(zhuǎn)義雙引號(hào)不轉(zhuǎn)義單引號(hào),如果都轉(zhuǎn)義的話需要添加上參數(shù)ENT_QUOTES 在php4、php<5.2.1中,變量的key值不受magic_quotes_gpc影響sprintf()格式化漏洞(可以吃掉轉(zhuǎn)義后的單引號(hào))
printf()和sprintf()函數(shù)中可以通過使用%接一個(gè)字符來進(jìn)行padding功能
例如%10s 字符串會(huì)默認(rèn)在左側(cè)填充空格至長度為10,還可以 %010s 會(huì)使用字符0進(jìn)行填充,但是如果我們想要使用別的字符進(jìn)行填充,需要使用 ‘ 單引號(hào)進(jìn)行標(biāo)識(shí),例如 %’#10s 這個(gè)就是使用#進(jìn)行填充(百分號(hào)不僅會(huì)吃掉’單引號(hào),還會(huì)吃掉\ 斜杠)
同時(shí)sprintf()可以使用指定參數(shù)位置的寫法
%后面的數(shù)字代表第幾個(gè)參數(shù),$后代表格式化類型
于是當(dāng)我們輸入的特殊字符被放到引號(hào)中進(jìn)行轉(zhuǎn)義時(shí),但是又使用了sprintf函數(shù)進(jìn)行拼接時(shí)
例如%1$’%s’ 中的 ‘%被當(dāng)成使用%進(jìn)行padding,導(dǎo)致后一個(gè)’逃逸了
還有一種情況就是’被轉(zhuǎn)義成了\’,例如輸入%’ and 1=1#進(jìn)入,存在SQL過濾,’被轉(zhuǎn)成了\’
于是sql語句變成了 select * from user where username = ‘%\’ and 1=1#’;
如果這個(gè)語句被使用sprintf函數(shù)進(jìn)行了拼接,%后的\被吃掉了,導(dǎo)致了’逃逸
不過這樣容易遇到 PHP Warning: sprintf(): Too few arguments的報(bào)錯(cuò)
這個(gè)時(shí)候我們可以使用%1$來吃掉轉(zhuǎn)移添加的\
php中 = 賦值運(yùn)算的優(yōu)先級(jí)高于and
$c = is_numeric($a) and is_numeric($b) 程序本意是要a、b都為數(shù)字才會(huì)繼續(xù),但是當(dāng)$a為數(shù)字時(shí),會(huì)先賦值給$c,所以可能導(dǎo)致$b繞過檢測
parse_url與libcurl對(duì)與url的解析差異可能導(dǎo)致ssrf
當(dāng)url中有多個(gè)@符號(hào)時(shí),parse_url中獲取的host是最后一個(gè)@符號(hào)后面的host,而libcurl則是獲取的第一個(gè)@符號(hào)之后的。因此當(dāng)代碼對(duì)http://user@eval.com:80@baidu.com 進(jìn)行解析時(shí),PHP獲取的host是baidu.com是允許訪問的域名,而最后調(diào)用libcurl進(jìn)行請(qǐng)求時(shí)則是請(qǐng)求的eval.com域名,可以造成ssrf繞過 此外對(duì)于https://evil@baidu.com這樣的域名進(jìn)行解析時(shí),php獲取的host是evil@baidu.com,但是libcurl獲取的host卻是evil.com
url標(biāo)準(zhǔn)的靈活性導(dǎo)致繞過filter_var與parse_url進(jìn)行ssrf
filter_var()函數(shù)對(duì)于http://evil.com;google.com 會(huì)返回false也就是認(rèn)為url格式錯(cuò)誤,但是對(duì)于0://evil.com:80;google.com:80/ 、0://evil.com:80,google.com:80/、0://evil.com:80\google.com:80/卻返回true。
通過file_get_contents獲取網(wǎng)頁內(nèi)容并返回到客戶端有可能造成xss
到此,相信大家對(duì)“PHP代碼審計(jì)要點(diǎn)是什么”有了更深的了解,不妨來實(shí)際操作一番吧!這里是創(chuàng)新互聯(lián)網(wǎng)站,更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢,關(guān)注我們,繼續(xù)學(xué)習(xí)!