【白帽子】变量覆盖漏洞

0x01 全局变量覆盖

  • 变量若未被初始化(PHP中使用变量并不需要初始化),且能被用户控制,很可能导致安全问题
  • 当register_globals=ON时,变量来源可能是各个地方
    通过$GLOBALS获取的变量,也可能导致变量的覆盖
if(ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});

这是一段禁用register_globals的代码


【白帽子】变量覆盖漏洞_第1张图片
php中unset的用法

由于unset只会销毁局部变量,要销毁全局变量必须使用$GLOBALS
给出代码:

";
if(ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});

print $a;
print $_GET[b];
?>

这段代码$a未初始化,如果尝试注入"GLOBALS[a]"以覆盖全局变量时,将成功控制变量$a的值

unset($GLOBALS['bar']) //可以销毁全局变量

0x02 extract()变量覆盖

extract()函数能将变量从数组导入当前的符号表
int extract(array $var_array[,int $extract_type [,string $prefix]])
第二个参数$extract_type指定函数将变量导入符号表时的行为,最常见的两个值

  • EXTR_OVERWRITE……如果变量名冲突,则覆盖已有变量
  • EXTR_SKIP……跳过不覆盖
    安全的做法是确定register_globals=OFF后,在调用extract()时使用EXTR_SKIP保证已有变量不会被覆盖

0x03 import_request_variables变量覆盖

bool import_request_variables(string $types[,string $prefix])
import_request_variables()将GET、POST、Cookie中的变量导入到全局,第二个参数是为导入的变量添加的前缀,如果没有指定,则将覆盖全局变量
import_request_variables('G')
指定导入GET请求中的变量,没有规定前缀,从而导致变量覆盖

0x04 安全建议

  • 确保register_globals=OFF,若不能自定义php.ini,则应该在代码中控制
  • 熟悉可能造成变量覆盖的函数和方法,检查用户是否能控制变量的来源
  • 养成初始化变量的好习惯

你可能感兴趣的:(【白帽子】变量覆盖漏洞)