PHP安全

PHP安全

一、SQL注入攻击(SQL Injection)

    攻击者把SQL命令插入到Web表单的输入域或页面请求的字符串，欺骗服务器执行恶意的SQL命令。在某些表单中，用户输入的内容直接用来构造（或者影响）动态SQL命令，或作为存储过程的输入参数，这类表单特别容易受到SQL注入式攻击，主要原因是由于请求参数没有过滤。

 

    SQL注入是怎么产生的？

1）WEB开发人员无法保证所有的输入都已经过滤

2）攻击者利用发送给SQL服务器的输入参数构造可执行的SQL代码（可加入到get请求、post请求、http头信息、cookie中）

3）数据库未做相应的安全配置

 

    常见的SQL注入式攻击过程类如：POST请求
1.某个Web应用有一个登录页面，这个登录页面控制着用户是否有权访问应用，它要求用户输入一个名称和密码；
2.登录页面中输入的内容将直接用来构造动态的SQL命令，或者直接用作存储过程的参数；
例如：

$query = 'SELECT * from Users WHERE login = ' . $username . ' AND password = ' . $password;

3.攻击者在用户名字和密码输入框中输入    ' or '1'='1   之类的内容；
4.用户输入的内容提交给服务器之后，服务器运行上面的代码构造出查询用户的SQL命令，但由于攻击者输入的内容非常特殊，所以最后得到的SQL命令变成：

SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'；

5.服务器执行查询或存储过程，将用户输入的身份信息和服务器中保存的身份信息进行对比；
6.由于SQL命令实际上已被注入式攻击修改，已经不能真正验证用户身份，所以系统会错误地授权给攻击者。

GET请求：

$sql = "SELECT * FROM article WHERE id =".$id;

正常情况：article.php?id=1

sql注入： article.php?id=-1 OR 1 =1

撞库：id=1 And (Select Count(*) from Admin)>=0，如果跟id=1结果一样，说明admin表存在，否则不存在，如此循环直到猜到为止。

    如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询，他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能，欺骗系统授予访问权限。
    系统环境不同，攻击者可能造成的损害也不同，这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限，攻击者就可能对数据库的表执行各种他想要做的操作，包括添加、删除或更新数据，甚至可能直接删除表.

或者有些get请求在参数传递过程中直接sql注入。

常用的万能密码：

1：' OR 'a'='a

2：' OR '1=1';#    ' OR '1=1';-- (--符号后面带个空格也表示注释符)

3：' OR '1=1';TRUNCATE tb_admin_user;#

等等，or后构建个true的条件。

3：123456   abc123 

4：姓名和密码一致，出手年月，

5：常用的多系统同账号和同密码，或不同账号相同密码

 

防范方法：
使用mysql_real_escape_string()过滤数据

手动检查每一数据是否为正确的数据类型

使用准备好的预处理语句(PDO)，占位符表示参数变量

分离数据和SQL逻辑

预处理语句将自动过滤(如：转义)

 

常用的php过滤函数：

htmlspecialchars()----htmlspecialchars_decode()

strip_tags()（注意有缺陷，不完整的html标签<）

addcslashes()----stripslashes ()

htmlentities()---html_entity_decode()

urlencode()---urldecode()

htmlentities这个函数转换所有含有对应“html实体”的特殊字符，比如货币表示符号欧元英镑等、版权符号等，htmlspecialchars 只是把某些特殊的字符转义了， & " ' < >

 

二、跨网站脚本攻击(Cross Site Scripting, XSS)

    攻击者将恶意代码注入到网页上，其他用户在加载网页时就会执行代码，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。这些恶意代码通常是JavaScript、HTML以及其他客户端脚本语言。
例如：

echo "欢迎您，".$_GET['name'];

    如果传入一段脚本，那么脚本也会执行。用这样的URL将会执行JavaScript的alert函数弹出一个对话框：http://localhost/test.php?name=
常用的攻击手段有：
盗用cookie，获取敏感信息；
利用iframe、frame、XMLHttpRequest或上述Flash等方式，以（被攻击）用户的身份执行一些管理动作，或执行一些一般的如发微博、加好友、发私信等操作；
利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动；
在访问量极大的一些页面上的XSS可以攻击一些小型网站，实现DDoS攻击的效果。

XSS速查表：https://blog.csdn.net/qq_29450455/article/details/78513426
防范方法：使用htmlspecialchars函数将特殊字符转换成HTML编码，过滤输出的变量

 

三、跨网站请求伪造攻击(Cross Site Request Forgeries, CSRF)

    攻击者伪造目标用户的HTTP请求，然后此请求发送到有CSRF漏洞的网站，网站执行此请求后，引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法权限，所以目标用户能够在网站内执行特定的HTTP链接，从而达到攻击者的目的。
    它与XSS的攻击方法不同，XSS利用漏洞影响站点内的用户，攻击目标是同一站点内的用户者，而CSRF 通过伪装成受害用户发送恶意请求来影响Web系统中受害用户的利益。
例如:
某个购物网站购买商品时，采用http://www.shop.com/buy.php?item=watch&num=100，item参数确定要购买什么物品，num参数确定要购买数量，如果攻击者以隐藏的方式发送给目标用户链接，那么如果目标用户不小心访问以后，购买的数量就成了100个
防范方法：
1、检查网页的来源
2、检查内置的隐藏变量
3、使用POST，不要使用GET，处理变量也不要直接使用$_REQUEST

 

四、Session固定攻击(Session Fixation)

    攻击者预先设定session id，让合法用户使用这个session id来访问被攻击的应用程序，一旦用户的会话ID被成功固定，攻击者就可以通过此session id来冒充用户访问应用程序。
例如:
1.攻击者访问网站http:///www.bank.com，获取他自己的session id，如：SID=123；
2.攻击者给目标用户发送链接，并带上自己的session id，如：http:///www.bank.com/?SID=123；
3.目标用户点击了http:///www.bank.com/?SID=123，像往常一样，输入自己的用户名、密码登录到网站；
4.由于服务器的session id不改变，现在攻击者点击http:///www.bank.com/?SID=123，他就拥有了目标用户的身份，可以为所欲为了。

案例：http://center.local.com/index.php?m=Home&c=Index&a=login<ype=1&PHPSESSID=nlg24ehju5v45737496u15nhp0
防范方法：
1.定期更改session id

session_regenerate_id(TRUE);//删除旧的session文件，每次都会产生一个新的session id。默认false，保留旧的session

2.更改session的名称
session的默认名称是PHPSESSID，此变量会保存在cookie中，如果攻击者不抓包分析，就不能猜到这个名称，阻挡部分攻击

session_name("mysessionid");

3.关闭透明化session id
透明化session id指当浏览器中的http请求没有使用cookie来制定session id时，sessioin id使用链接来传递

int_set("session.use_trans_sid", 0);

4.只从cookie检查session id

int_set("session.use_cookies", 1);//表示使用cookies存放session id

int_set("session.use_only_cookies", 1);//表示只使用cookies存放session id

5.使用URL传递隐藏参数

$sid = md5(uniqid(rand()), TRUE));

$_SESSION["sid"] = $sid;//攻击者虽然能获取session数据，但是无法得知$sid的值，只要检查sid的值，就可以确认当前页面是否是web程序自己调用的

 

五、Session劫持攻击(Session Hijacking)

    攻击者利用各种手段来获取目标用户的session id。一旦获取到session id，那么攻击者可以利用目标用户的身份来登录网站，获取目标用户的操作权限。
攻击者获取目标用户session id的方法:
1.暴力破解:尝试各种session id，直到破解为止;
2.计算:如果session id使用非随机的方式产生，那么就有可能计算出来;
3.窃取:使用网络截获，xss攻击等方法获得
防范方法：
1.定期更改session id
2.更改session的名称
3.关闭透明化session id
4.设置HttpOnly。通过设置Cookie的HttpOnly为true，可以防止客户端脚本访问这个Cookie，从而有效的防止XSS攻击。

六、文件上传漏洞攻击(File Upload Attack)

    攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意代码上传到服务器并获得执行服务器端命令的能力。
常用的攻击手段有：
上传Web脚本代码，Web容器解释执行上传的恶意脚本；
上传病毒、木马文件，诱骗用户和管理员下载执行；
上传包含脚本的图片，某些浏览器的低级版本会执行该脚本，用于钓鱼和欺诈。
总的来说，利用的上传文件要么具备可执行能力(恶意代码)，要么具备影响服务器行为的能力(配置文件)。
防范方法：
1.文件上传的目录设置为不可执行；
2.判断文件类型，设置白名单。对于图片的处理，可以使用压缩函数或者resize函数，在处理图片的同时破坏图片中可能包含的HTML代码；
3.使用随机数改写文件名和文件路径：一个是上传后无法访问；再来就是像shell、.php 、.rar和crossdomain.xml这种文件，都将因为重命名而无法攻击；
4.单独设置文件服务器的域名：由于浏览器同源策略的关系，一系列客户端攻击将失效，比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。

 

七、修改PHP配置提高安全性

1.禁用远程url文件处理功能

fopen的文件处理函数，接受文件的rul参数(例如：fopen('http://www.baidu.com','r')))，这个功能可以很轻松的访问远程资源，然而这是一个很重要的安全威胁，在php.ini文件中做如下修改：

allow_url_fopen = Off

2.禁用注册全局变量

register_globals因为它允许攻击者在一些情况下很容易的操作全局变量，无论在什么情况下都要禁用这个功能。修改pnp.ini来禁用这个功能：（自PHP5.3之后已经废弃的配置）

register_globals = Off

3.限制php的读写操作

php脚本需要向本地文件系统进行读写操作，比如/var/www/files，为了加强安全，你可以修改本地文件的读写权限：

open_basedir = /var/www/files

4.Posing Limit

限制PHP的执行时间、内存使用量、post和upload的数据是最好的策略，可以做如下的配置：

max_execution_time = 30  ; Max script execution time
max_input_time = 60      ; Max time spent parsing input
memory_limit = 256M       ; Max memory used by one script
upload_max_filesize = 20M ; Max upload file size
post_max_size = 80M       ; Max post size

5.禁用错误消息和启用日志功能

在默认设置中，php会向浏览器输出错误消息，在应用程序的开发过程中，这个默认设置是最合理的配置，然而，它也可以向用户泄漏一些安全信息，例如安装路径和用户名。在已经开发完成的网站中，最好禁用错误消息然后把错误消息输出到日志文件中。

display_errors = Off
log_errors = On

error_log=/usr/local/logs/name.log

6.隐藏PHP文件

 如果没有隐藏PHP文件，我们可以通过多种方法获取服务器PHP的版本，我们不希望用户可以直接获取你网站服务器的PHP版本，在php.ini中有个开关可以禁用这个功能：

expose_php = Off

7.安全模式配置

在默认的情况下，php可以配置为安全模式，在这种模式下，Apache禁止访问文件、环境变量和二进制程序，在安全模式下，存在的最大问题就是只有文件的所有者才能访问这写PHP文件，如果有很多开发者共同开发这个程序，这样的设置就不切实际，当你需要访问一个PHP文件时就需要修改这个文件的所有者，另外一个问题就是其它程序也不能访问这些PHP文件，下面的配置就可以修改文件的的权限为用户组而不是单个用户。

safe_mode = Off
safe_mode_gid = On

通过启用safe_mode_gid，能够使用Apache的这个群组就能够访问PHP文件。安全模式对阻止二进制文件的执行也非常有效，然而，开发者却希望在某些特定情形下能够运行一些二进制文件。在这些特殊的情形下，可以将二进制文件放进一个目录中，比如（/var/www/binaries），可以做如下设置：

safe_mode_exec_dir = /var/www/binaries

最后，通过下面的设置，可以访问服务器的环境变量，提供一个以”_“分割的前缀，这样只能访问具有规定前缀的环境变量：

safe_mode_allowed_env_vars = PHP_

8.限制公共用户对具有特定后缀名的文件的访问

由于安全的原因，很多具有特定后缀名的文件不能被公共用户所访问，比如.inc后缀的文件，里面包含了一些敏感的信息，比如mysql连接信息，如果没有适当的配置，那么每个用户都能访问这个配置文件，为了加强网站的安全，你需要在. .htaccess文件进行如下的配置：

  Order allow,deny
  Deny from all

9.allow_url_include =Off

PHP通过此选项控制是否允许通过include/require来执行一个远程文件

假如用户访问如下的URL，访问页面中的$strParam将被设置为一个远程的URL。如果此配置被设置为on，那么test.php会通过include_once执行远程服务器上的PHP文件，后果不言而喻

10.magic_quotes_gpc = on

如果将php.ini的magic_quotes_gpc设置为On时，PHP将对所有GPC参数($_GET,$_POST,$_COOKIE)进行addslashes处理[既转义单引号、双引号、反斜线和nullbyte]，开启会造成性能损耗。但是在php5.4之后已经取消了，这些判断得由开发者自己根据情况判断。

11.expose_php = Off

经常会在一个http头里发现这样的信息：

X-Powered-By:PHP/5.6.0 或者  X-Powered-By: ThinkPHP

PHP的版本号或者所用第三方框架，攻击者很容易捕获到此信息，造成利用php版本或框架存在的问题攻击，在php配置文件中此配置默认是on，需要改成off。

12.display_startup_errors =Off

php启动时产生的错误由此选项进行控制，这个和display_errors是分开的。为避免PHP进程启动时产生的错误被打印到页面上而造成信息泄漏，此选项在线上服务也应该被配置为Off。为了方便开发和调试，开发环境可以将其设置为On。

13.总结

PHP的默认配置是面向开发者的，如果网站面向广大的用户，建议重新配置PHP。

缓冲区溢出，会导致内存满了其他功能无法使用，限制大小，及时释放内存。

修改ngnix配置：

修改允许文件类型：

mime.types