php网站常见的几种攻击方式
针对 PHP 的网站主要存在下面几种攻击方式::
1、命令注入(Command Injection)
2、eval 注入(Eval Injection)
3、客户端脚本攻击(Script Insertion)
4、跨网站脚本攻击(Cross Site Scripting, XSS)
5、SQL 注入攻击(SQL injection)
6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
7、Session 会话劫持(Session Hijacking)
8、Session 固定攻击(Session Fixation)
9、HTTP 响应拆分攻击(HTTP Response Splitting)
10、文件上传漏洞(File Upload Attack)
11、目录穿越漏洞(Directory Traversal)
12、远程文件包含攻击(Remote Inclusion)
13、动态函数注入攻击(Dynamic Variable Evaluation)
14、URL 攻击(URL attack)
15、表单提交欺骗攻击(Spoofed Form Submissions)
16、HTTP 请求欺骗攻击(Spoofed HTTP Requests)
几个重要的 php.ini 选项
Register Globals
php>=4.2.0,php.ini 的 register_globals 选项的默认值预设为Off,当 register_globals的设定为On,程序可以接收来自服务器的各种环境变量,包括表单提交的变量,而且由于 PHP不必事先初始化变量的值,从而导致很大的安全隐患。
例 1:
//check_admin()用于检查当前用户权限,如果是 admin 设置$is_admin 变量为 true,然后下面判断此变量是否为 true,然后执行管理的一些操作
//ex1.php
if (check_admin()){
$is_admin = true;
}
if ($is_admin){
do_something();
}
?>
这一段代码没有将$is_admin 事先初始化为 Flase,如果 register_globals 为 On,那么我们直接提交 http://www.sectop.com/ex1.php?is_admin=true,就可以绕过 check_admin()的验证
例 2:
//ex2.php
if (isset($_SESSION["username"]))
{
do_something();
}else{
echo "您尚未登录!";
}
?>
当 register_globals=On 时, 我们提交http://www.sectop.com/ex2.php?_SESSION[username]=dodo,就具有了此用户的权限
所以不管 register_globals 为什么,我们都要记住,对于任何传输的数据要经过仔细验证,变量要初始化
safe_mode
安全模式,PHP 用来限制文档的存取、限制环境变量的存取,控制外部程序的执行。启用安全模式必须设置 php.ini 中的 safe_mode = On
1、限制文件存取
safe_mode_include_dir = "/path1:/path2:/path3"
不同的文件夹用冒号隔开
2、限制环境变量的存取
safe_mode_allowed_env_vars = string
指定 PHP 程序可以改变的环境变量的前缀,如:safe_mode_allowed_env_vars = PHP_ ,当这个选项的值为空时,那么 php 可以改变任何环境变量
safe_mode_protected_env_vars = string
用来指定 php 程序不可改变的环境变量的前缀
3、限制外部程序的执行
safe_mode_exec_dir = string
此选项指定的文件夹路径影响 system、exec、popen、passthru,不影响 shell_exec 和“``”。
disable_functions = string
不同的函数名称用逗号隔开,此选项不受安全模式影响
magic quotes
用来让 php 程序的输入信息自动转义,所有的单引号(“'”),双引号(“"”),反斜杠(“\”)和空字符(NULL),都自动被加上反斜杠进行转义magic_quotes_gpc = On 用来设置 magic quotes 为 On,它会影响 HTTP 请求的数据(GET、POST、Cookies)
程序员也可以使用 addslashes 来转义提交的 HTTP 请求数据,或者用 stripslashes 来删除转义
PHP 漏洞全解(二)-命令注入攻击
命令注入攻击
PHP 中可以使用下列 5 个函数来执行外部的应用程序或函数
system、exec、passthru、shell_exec、``(与 shell_exec 功能相同)
string system(string command, int &return_var)
command 要执行的命令
return_var 存放执行命令的执行后的状态值
string exec (string command, array &output, int &return_var)
command 要执行的命令
output 获得执行命令输出的每一行字符串
return_var 存放执行命令后的状态值
void passthru (string command, int &return_var)
command 要执行的命令
return_var 存放执行命令后的状态值
string shell_exec (string command)
command 要执行的命令
漏洞实例
例 1:
//ex1.php
$dir = $_GET["dir"];
if (isset($dir)){
echo "
}
?>
我们提交 http://www.sectop.com/ex1.php?dir=| cat /etc/passwd
提交以后,命令变成了 system("ls -al | cat /etc/passwd");
eval 注入攻击
eval 函数将输入的字符串参数当作 PHP 程序代码来执行
函数原型:
mixed eval(string code_str) //eval 注入一般发生在攻击者能控制输入的字符串的时候
//ex2.php
$var = "var";
if (isset($_GET["arg"])){
$arg = $_GET["arg"];
eval("\$var = $arg;");
echo "\$var =".$var;
}
?>
当我们提交 http://www.sectop.com/ex2.php?arg=phpinfo();漏洞就产生了
动态函数
func A(){
dosomething();
}
func B(){
dosomething();
}
if (isset($_GET["func"])){
$myfunc = $_GET["func"];
echo $myfunc();
}
?>
程序员原意是想动态调用 A 和 B 函数, 那我们提交http://www.sectop.com/ex.php?func=phpinfo 漏洞产生
防范方法
1、尽量不要执行外部命令
2、使用自定义函数或函数库来替代外部命令的功能
3、使用 escapeshellarg 函数来处理命令参数
4、使用 safe_mode_exec_dir 指定可执行文件的路径
esacpeshellarg 函数会将任何引起参数或命令结束的字符转义,单引号“'”,替换成“\'”,双引号“"”,替换成“\"”,分号“;”替换成“\;”
用 safe_mode_exec_dir 指定可执行文件的路径,可以把会使用的命令提前放入此路径内safe_mode = On
safe_mode_exec_di r= /usr/local/php/bin/
PHP 漏洞全解(三)-客户端脚本植入
客户端脚本植入(Script Insertion),是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对象内。当用户打开这些对象后,攻击者所植入的脚本就会被执行,进而开始攻击。
可以被用作脚本植入的 HTML 标签一般包括以下几种:
1、 无限弹框
插入 跳转钓鱼页面
或者使用其他自行构造的 js 代码进行攻击
防范的方法
一般使用 htmlspecialchars 函数来将特殊字符转换成 HTML 编码
函数原型
string htmlspecialchars (string string, int quote_style, string charset)
string 是要编码的字符串
quote_style 可选, 值可为 ENT_COMPAT、ENT_QUOTES 、ENT_NOQUOTES ,默认值ENT_COMPAT,表示只转换双引号不转换单引号。ENT_QUOTES,表示双引号和单引号都要转换。ENT_NOQUOTES,表示双引号和单引号都不转换
charset 可选,表示使用的字符集
函数会将下列特殊字符转换成 html 编码:
& ----> &
" ----> "
' ----> '
< ----> <
> ----> >
把 show.php 的第 98 行改成然后再查看插入 js 的漏洞页面
PHP 漏洞全解(四)-xss 跨站脚本攻击
XSS(Cross Site Scripting),意为跨网站脚本攻击,为了和样式表 css(Cascading StyleSheet)区别,缩写为 XSS
跨站脚本主要被攻击者利用来读取网站用户的 cookies 或者其他个人数据,一旦攻击者得到这些数据,那么他就可以伪装成此用户来登录网站,获得此用户的权限。
跨站脚本攻击的一般步骤:
1、攻击者以某种方式发送 xss 的 http 链接给目标用户
2、目标用户登录此网站,在登陆期间打开了攻击者发送的 xss 链接
3、网站执行了此 xss 攻击脚本
4、目标用户页面跳转到攻击者的网站,攻击者取得了目标用户的信息
5、攻击者使用目标用户的信息登录网站,完成攻击
当有存在跨站漏洞的程序出现的时候, 攻击者可以构造类似
http://www.sectop.com/search.php?key=,诱骗用户点击后,可以获取用户 cookies值
防范方法:
利用 htmlspecialchars 函数将特殊字符转换成 HTML 编码
函数原型
string htmlspecialchars (string string, int quote_style, string charset)
string 是要编码的字符串
quote_style 可选, 值可为 ENT_COMPAT、ENT_QUOTES 、ENT_NOQUOTES ,默认值ENT_COMPAT,表示只转换双引号不转换单引号。ENT_QUOTES ,表示双引号和单引号都
要转换。ENT_NOQUOTES ,表示双引号和单引号都不转换
charset 可选,表示使用的字符集
函数会将下列特殊字符转换成 html 编码:
& ----> &
" ----> "
' ----> '
< ----> <
> ----> >
$_SERVER["PHP_SELF"]变量的跨站
在某个表单中,如果提交参数给自己,会用这样的语句
$_SERVER["PHP_SELF"]变量的值为当前页面名称
例:
http://www.sectop.com/get.php
get.php 中上述的表单
那么我们提交
http://www.sectop.com/get.php/">
那么表单变成
存为 attack.html,放到自己网站上 http://www.sectop.com/attack.html,此页面访问后会自动向目标程序的 pass.php 提交参数,用户名修改为 root,密码修改为 root,然后我们去留言板发一条留言,隐藏这个链接,管理访问以后,他的用户名和密码全部修改成了 root
防范方法
防范 CSRF 要比防范其他攻击更加困难,因为 CSRF 的 HTTP 请求虽然是攻击者伪造的,但是却是由目标用户发出的,一般常见的防范方法有下面几种:
1、检查网页的来源
2、检查内置的隐藏变量
3、使用 POST,不要使用 GET
检查网页来源
在//pass.php 头部加入以下红色字体代码,验证数据提交
if($_GET["act"]){
if(isset($_SERVER["HTTP_REFERER"])){
$serverhost = $_SERVER["SERVER_NAME"];
$strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]);
$strdomain = explode("/",$strurl);
$sourcehost = $strdomain[0];
if(strncmp($sourcehost, $serverhost, strlen($serverhost))){
unset($_POST);
echo "";
}
}
$username=$_POST["username"];
$sh=$_POST["sh"];
$gg=$_POST["gg"];
$title=$_POST["title"];
$copyright=$_POST["copyright"]."
设计制作:厦门随缘网络科技";
$password=md5($_POST["password"]);
if(empty($_POST["password"])){
$sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}else{
$sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}
mysql_query($sql);
mysql_close($conn);
echo "";
}
检查内置隐藏变量
我们在表单中内置一个隐藏变量和一个 session 变量,然后检查这个隐藏变量和 session变量是否相等,以此来判断是否同一个网页所调用
include_once("dlyz.php");
include_once("../conn.php");
if($_GET["act"]){
if (!isset($_SESSION["post_id"])){
// 生成唯一的 ID,并使用 MD5 来加密
$post_id = md5(uniqid(rand(), true));
// 创建 Session 变量
$_SESSION["post_id"] = $post_id;
}
// 检查是否相等
if (isset($_SESSION["post_id"])){
// 不相等
if ($_SESSION["post_id"] != $_POST["post_id"]){
// 清除 POST 变量
unset($_POST);
echo "";
}
}
......
">
}
mysql_close($conn);
?>
1、命令注入(Command Injection)
2、eval 注入(Eval Injection)
3、客户端脚本攻击(Script Insertion)
4、跨网站脚本攻击(Cross Site Scripting, XSS)
5、SQL 注入攻击(SQL injection)
6、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)
7、Session 会话劫持(Session Hijacking)
8、Session 固定攻击(Session Fixation)
9、HTTP 响应拆分攻击(HTTP Response Splitting)
10、文件上传漏洞(File Upload Attack)
11、目录穿越漏洞(Directory Traversal)
12、远程文件包含攻击(Remote Inclusion)
13、动态函数注入攻击(Dynamic Variable Evaluation)
14、URL 攻击(URL attack)
15、表单提交欺骗攻击(Spoofed Form Submissions)
16、HTTP 请求欺骗攻击(Spoofed HTTP Requests)
几个重要的 php.ini 选项
Register Globals
php>=4.2.0,php.ini 的 register_globals 选项的默认值预设为Off,当 register_globals的设定为On,程序可以接收来自服务器的各种环境变量,包括表单提交的变量,而且由于 PHP不必事先初始化变量的值,从而导致很大的安全隐患。
例 1:
//check_admin()用于检查当前用户权限,如果是 admin 设置$is_admin 变量为 true,然后下面判断此变量是否为 true,然后执行管理的一些操作
//ex1.php
if (check_admin()){
$is_admin = true;
}
if ($is_admin){
do_something();
}
?>
这一段代码没有将$is_admin 事先初始化为 Flase,如果 register_globals 为 On,那么我们直接提交 http://www.sectop.com/ex1.php?is_admin=true,就可以绕过 check_admin()的验证
例 2:
//ex2.php
if (isset($_SESSION["username"]))
{
do_something();
}else{
echo "您尚未登录!";
}
?>
当 register_globals=On 时, 我们提交http://www.sectop.com/ex2.php?_SESSION[username]=dodo,就具有了此用户的权限
所以不管 register_globals 为什么,我们都要记住,对于任何传输的数据要经过仔细验证,变量要初始化
safe_mode
安全模式,PHP 用来限制文档的存取、限制环境变量的存取,控制外部程序的执行。启用安全模式必须设置 php.ini 中的 safe_mode = On
1、限制文件存取
safe_mode_include_dir = "/path1:/path2:/path3"
不同的文件夹用冒号隔开
2、限制环境变量的存取
safe_mode_allowed_env_vars = string
指定 PHP 程序可以改变的环境变量的前缀,如:safe_mode_allowed_env_vars = PHP_ ,当这个选项的值为空时,那么 php 可以改变任何环境变量
safe_mode_protected_env_vars = string
用来指定 php 程序不可改变的环境变量的前缀
3、限制外部程序的执行
safe_mode_exec_dir = string
此选项指定的文件夹路径影响 system、exec、popen、passthru,不影响 shell_exec 和“``”。
disable_functions = string
不同的函数名称用逗号隔开,此选项不受安全模式影响
magic quotes
用来让 php 程序的输入信息自动转义,所有的单引号(“'”),双引号(“"”),反斜杠(“\”)和空字符(NULL),都自动被加上反斜杠进行转义magic_quotes_gpc = On 用来设置 magic quotes 为 On,它会影响 HTTP 请求的数据(GET、POST、Cookies)
程序员也可以使用 addslashes 来转义提交的 HTTP 请求数据,或者用 stripslashes 来删除转义
PHP 漏洞全解(二)-命令注入攻击
命令注入攻击
PHP 中可以使用下列 5 个函数来执行外部的应用程序或函数
system、exec、passthru、shell_exec、``(与 shell_exec 功能相同)
string system(string command, int &return_var)
command 要执行的命令
return_var 存放执行命令的执行后的状态值
string exec (string command, array &output, int &return_var)
command 要执行的命令
output 获得执行命令输出的每一行字符串
return_var 存放执行命令后的状态值
void passthru (string command, int &return_var)
command 要执行的命令
return_var 存放执行命令后的状态值
string shell_exec (string command)
command 要执行的命令
漏洞实例
例 1:
//ex1.php
$dir = $_GET["dir"];
if (isset($dir)){
echo "
";";
system("ls -al ".$dir);
echo "
}
?>
我们提交 http://www.sectop.com/ex1.php?dir=| cat /etc/passwd
提交以后,命令变成了 system("ls -al | cat /etc/passwd");
eval 注入攻击
eval 函数将输入的字符串参数当作 PHP 程序代码来执行
函数原型:
mixed eval(string code_str) //eval 注入一般发生在攻击者能控制输入的字符串的时候
//ex2.php
$var = "var";
if (isset($_GET["arg"])){
$arg = $_GET["arg"];
eval("\$var = $arg;");
echo "\$var =".$var;
}
?>
当我们提交 http://www.sectop.com/ex2.php?arg=phpinfo();漏洞就产生了
动态函数
func A(){
dosomething();
}
func B(){
dosomething();
}
if (isset($_GET["func"])){
$myfunc = $_GET["func"];
echo $myfunc();
}
?>
程序员原意是想动态调用 A 和 B 函数, 那我们提交http://www.sectop.com/ex.php?func=phpinfo 漏洞产生
防范方法
1、尽量不要执行外部命令
2、使用自定义函数或函数库来替代外部命令的功能
3、使用 escapeshellarg 函数来处理命令参数
4、使用 safe_mode_exec_dir 指定可执行文件的路径
esacpeshellarg 函数会将任何引起参数或命令结束的字符转义,单引号“'”,替换成“\'”,双引号“"”,替换成“\"”,分号“;”替换成“\;”
用 safe_mode_exec_dir 指定可执行文件的路径,可以把会使用的命令提前放入此路径内safe_mode = On
safe_mode_exec_di r= /usr/local/php/bin/
PHP 漏洞全解(三)-客户端脚本植入
客户端脚本植入(Script Insertion),是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对象内。当用户打开这些对象后,攻击者所植入的脚本就会被执行,进而开始攻击。
可以被用作脚本植入的 HTML 标签一般包括以下几种:
1、 无限弹框
插入 跳转钓鱼页面
或者使用其他自行构造的 js 代码进行攻击
防范的方法
一般使用 htmlspecialchars 函数来将特殊字符转换成 HTML 编码
函数原型
string htmlspecialchars (string string, int quote_style, string charset)
string 是要编码的字符串
quote_style 可选, 值可为 ENT_COMPAT、ENT_QUOTES 、ENT_NOQUOTES ,默认值ENT_COMPAT,表示只转换双引号不转换单引号。ENT_QUOTES,表示双引号和单引号都要转换。ENT_NOQUOTES,表示双引号和单引号都不转换
charset 可选,表示使用的字符集
函数会将下列特殊字符转换成 html 编码:
& ----> &
" ----> "
' ----> '
< ----> <
> ----> >
把 show.php 的第 98 行改成然后再查看插入 js 的漏洞页面
PHP 漏洞全解(四)-xss 跨站脚本攻击
XSS(Cross Site Scripting),意为跨网站脚本攻击,为了和样式表 css(Cascading StyleSheet)区别,缩写为 XSS
跨站脚本主要被攻击者利用来读取网站用户的 cookies 或者其他个人数据,一旦攻击者得到这些数据,那么他就可以伪装成此用户来登录网站,获得此用户的权限。
跨站脚本攻击的一般步骤:
1、攻击者以某种方式发送 xss 的 http 链接给目标用户
2、目标用户登录此网站,在登陆期间打开了攻击者发送的 xss 链接
3、网站执行了此 xss 攻击脚本
4、目标用户页面跳转到攻击者的网站,攻击者取得了目标用户的信息
5、攻击者使用目标用户的信息登录网站,完成攻击
当有存在跨站漏洞的程序出现的时候, 攻击者可以构造类似
http://www.sectop.com/search.php?key=,诱骗用户点击后,可以获取用户 cookies值
防范方法:
利用 htmlspecialchars 函数将特殊字符转换成 HTML 编码
函数原型
string htmlspecialchars (string string, int quote_style, string charset)
string 是要编码的字符串
quote_style 可选, 值可为 ENT_COMPAT、ENT_QUOTES 、ENT_NOQUOTES ,默认值ENT_COMPAT,表示只转换双引号不转换单引号。ENT_QUOTES ,表示双引号和单引号都
要转换。ENT_NOQUOTES ,表示双引号和单引号都不转换
charset 可选,表示使用的字符集
函数会将下列特殊字符转换成 html 编码:
& ----> &
" ----> "
' ----> '
< ----> <
> ----> >
$_SERVER["PHP_SELF"]变量的跨站
在某个表单中,如果提交参数给自己,会用这样的语句
$_SERVER["PHP_SELF"]变量的值为当前页面名称
例:
http://www.sectop.com/get.php
get.php 中上述的表单
那么我们提交
http://www.sectop.com/get.php/">
那么表单变成
存为 attack.html,放到自己网站上 http://www.sectop.com/attack.html,此页面访问后会自动向目标程序的 pass.php 提交参数,用户名修改为 root,密码修改为 root,然后我们去留言板发一条留言,隐藏这个链接,管理访问以后,他的用户名和密码全部修改成了 root
防范方法
防范 CSRF 要比防范其他攻击更加困难,因为 CSRF 的 HTTP 请求虽然是攻击者伪造的,但是却是由目标用户发出的,一般常见的防范方法有下面几种:
1、检查网页的来源
2、检查内置的隐藏变量
3、使用 POST,不要使用 GET
检查网页来源
在//pass.php 头部加入以下红色字体代码,验证数据提交
if($_GET["act"]){
if(isset($_SERVER["HTTP_REFERER"])){
$serverhost = $_SERVER["SERVER_NAME"];
$strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]);
$strdomain = explode("/",$strurl);
$sourcehost = $strdomain[0];
if(strncmp($sourcehost, $serverhost, strlen($serverhost))){
unset($_POST);
echo "";
}
}
$username=$_POST["username"];
$sh=$_POST["sh"];
$gg=$_POST["gg"];
$title=$_POST["title"];
$copyright=$_POST["copyright"]."
设计制作:厦门随缘网络科技";
$password=md5($_POST["password"]);
if(empty($_POST["password"])){
$sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}else{
$sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}
mysql_query($sql);
mysql_close($conn);
echo "";
}
检查内置隐藏变量
我们在表单中内置一个隐藏变量和一个 session 变量,然后检查这个隐藏变量和 session变量是否相等,以此来判断是否同一个网页所调用
include_once("dlyz.php");
include_once("../conn.php");
if($_GET["act"]){
if (!isset($_SESSION["post_id"])){
// 生成唯一的 ID,并使用 MD5 来加密
$post_id = md5(uniqid(rand(), true));
// 创建 Session 变量
$_SESSION["post_id"] = $post_id;
}
// 检查是否相等
if (isset($_SESSION["post_id"])){
// 不相等
if ($_SESSION["post_id"] != $_POST["post_id"]){
// 清除 POST 变量
unset($_POST);
echo "";
}
}
......
">
}
mysql_close($conn);
?>