PHP 代码审计 推荐
2013-10-02 21:26
537 查看
PHP是一种被广泛使用的脚本语言,尤其适合于web开发。具有跨平台,容易学习,功能强大等特点,据统计全世界有超过34%的网站有php的应用,包括Yahoo、sina、163、sohu等大型门户网站。而且很多具名的web应用系统(包括bbs,blog,wiki,cms等等)都是使用php开发的,Discuz、phpwind、phpbb、vbb、wordpress、boblog等等。
随着web安全的热点升级,php应用程序的代码安全问题也逐步兴盛起来,越来越多的安全人员投入到这个领域,越来越多的应用程序代码漏洞被披露。面对这种现状,PHP漏洞“挖掘者”所能得到的漏洞也将越来越少。但是“穷则思变”,既然传统的审计方法不能达到挖掘漏洞的目的,那么我们何不尝试新的审计手法与思路呢?代码审计的目的是以挖掘到可以利用的漏洞,所以我们不必通篇的去将代码完全看懂,但是在开始之前做一些准备还是必须,就像渗透之前,我们也需要收集足够多的目标信息,利用工具和制定渗透计划一样。
程序的本质是变量与函数,漏洞所依赖的也无法脱离这两个元素。让我们先来看下漏洞形成的条件1.可以控制的变量【一切输入都是有害的】2.变量到达有利用价值的函数[危险函数]【一切进入函数的变量是有害的】漏洞的利用效果最终也取决与函数的功能。所以我们在下面讲述漏洞挖掘的过程中,也将围绕着这两个元素来展开。
一个网站的安全性涉及很多方面,代码的安全性是其中的一个重要因素,代码审计就是用来提高代码安全性的,那么我们就来讲讲代码审计,这次我们用到的是dvwa。
DVWA(DamnVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
下面简单的以dvwa里面sql注入的三种等级代码来说一下代码审计。
首先比较low、medium、high三种级别的php代码:Low:
Medium:
High:
红框里面就是三种代码的不同之处,发现从low到medium多了一句,medium到high又多了一句。
dvwa的sqlinjection里面有个输入框,三种等级下输入1,结果都一样,浏览器地址栏变成:http://localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#输入框下面会出现:
1、当在low级下输入1′,发现浏览器地址栏变成:http://localhost/dvwa/vulnerabilities/sqli/?id=1′&Submit=Submit#并出现错误:YouhaveanerrorinyourSQLsyntax;checkthemanualthatcorrespondstoyourMySQLserverversionfortherightsyntaxtousenear”1”’atline12、当在medium级下,输入1′,发现地址栏和low级一样,提示错误:YouhaveanerrorinyourSQLsyntax;checkthemanualthatcorrespondstoyourMySQLserverversionfortherightsyntaxtousenear‘\”atline13、再看high级下,输入1′,地址栏依旧,没出现错误,也没有出现正常的查询结果。正常情况下,当用户在输入框输入1,从数据库查询id=1的用户,查询语句是SELECTfirst_name,last_nameFROMusersWHEREuser_id=‘$id’就会得到id=1的用户信息。
但是在1后面加个单引号后在low和medium级别下出现错误,看回上面图片:low级下没有对输入进行任何处理,直接把用户输入的东西放到查询语句中进行查询;medium级下添加了mysql_real_escape_string()函数,这个函数是转义sql语句中使用的字符串中的特殊字符,就像在错误提示中显示在单引号前加\;
high级下在转义函数前面加了另一个函数stripslashes(),这个函数是去除addslashes()函数添加的反斜杠,因为high级下,php的magic_quotes_gpc为on,对所有的GET、POST和COOKIE数据自动运行addslashes()函数。所以要使用stripslashes()函数三种等级下sql注入的情况很明显了,现在深入。low:http://localhost/dvwa/vulnerabilities/sqli/?id=1orderby2+–+&Submit=Submit#
http://localhost/dvwa/vulnerabilities/sqli/?id=1′orderby2+–+&Submit=Submit#
http://localhost/dvwa/vulnerabilities/sqli/?id=1′unionselect1,2+–+&Submit=Submit#
http://localhost/dvwa/vulnerabilities/sqli/?id=1′unionselect1,concat_ws(char(32,58,32),user(),database(),version())+–+&Submit=Submit#
就这样把当前用户、数据库、php版本爆了出来。concat_ws是mysql里面的函数。medium下会自动加反斜杠转义特殊字符,会破坏查询语句,页面上会提示出错;high下id只有正常情况下才会出现正确信息,其余的都不会出现任何信息。除此之外,high级别中还有两处不同,判断输入是否为数字并将其值用单引号包含起来,以确保非法字符无法起作用。
到high级别的php代码已经达到相当高水平的安全性了,但是不能说一定是最安全的,因为还是可能会出现漏洞的。代码审计就是检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。从而在系统开发阶段/运维阶段进行深入的问题查找和消灭过程。
随着web安全的热点升级,php应用程序的代码安全问题也逐步兴盛起来,越来越多的安全人员投入到这个领域,越来越多的应用程序代码漏洞被披露。面对这种现状,PHP漏洞“挖掘者”所能得到的漏洞也将越来越少。但是“穷则思变”,既然传统的审计方法不能达到挖掘漏洞的目的,那么我们何不尝试新的审计手法与思路呢?代码审计的目的是以挖掘到可以利用的漏洞,所以我们不必通篇的去将代码完全看懂,但是在开始之前做一些准备还是必须,就像渗透之前,我们也需要收集足够多的目标信息,利用工具和制定渗透计划一样。
程序的本质是变量与函数,漏洞所依赖的也无法脱离这两个元素。让我们先来看下漏洞形成的条件1.可以控制的变量【一切输入都是有害的】2.变量到达有利用价值的函数[危险函数]【一切进入函数的变量是有害的】漏洞的利用效果最终也取决与函数的功能。所以我们在下面讲述漏洞挖掘的过程中,也将围绕着这两个元素来展开。
一个网站的安全性涉及很多方面,代码的安全性是其中的一个重要因素,代码审计就是用来提高代码安全性的,那么我们就来讲讲代码审计,这次我们用到的是dvwa。
DVWA(DamnVulnerableWebApplication)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。
下面简单的以dvwa里面sql注入的三种等级代码来说一下代码审计。
首先比较low、medium、high三种级别的php代码:Low:
Medium:
High:
红框里面就是三种代码的不同之处,发现从low到medium多了一句,medium到high又多了一句。
dvwa的sqlinjection里面有个输入框,三种等级下输入1,结果都一样,浏览器地址栏变成:http://localhost/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit#输入框下面会出现:
1、当在low级下输入1′,发现浏览器地址栏变成:http://localhost/dvwa/vulnerabilities/sqli/?id=1′&Submit=Submit#并出现错误:YouhaveanerrorinyourSQLsyntax;checkthemanualthatcorrespondstoyourMySQLserverversionfortherightsyntaxtousenear”1”’atline12、当在medium级下,输入1′,发现地址栏和low级一样,提示错误:YouhaveanerrorinyourSQLsyntax;checkthemanualthatcorrespondstoyourMySQLserverversionfortherightsyntaxtousenear‘\”atline13、再看high级下,输入1′,地址栏依旧,没出现错误,也没有出现正常的查询结果。正常情况下,当用户在输入框输入1,从数据库查询id=1的用户,查询语句是SELECTfirst_name,last_nameFROMusersWHEREuser_id=‘$id’就会得到id=1的用户信息。
但是在1后面加个单引号后在low和medium级别下出现错误,看回上面图片:low级下没有对输入进行任何处理,直接把用户输入的东西放到查询语句中进行查询;medium级下添加了mysql_real_escape_string()函数,这个函数是转义sql语句中使用的字符串中的特殊字符,就像在错误提示中显示在单引号前加\;
high级下在转义函数前面加了另一个函数stripslashes(),这个函数是去除addslashes()函数添加的反斜杠,因为high级下,php的magic_quotes_gpc为on,对所有的GET、POST和COOKIE数据自动运行addslashes()函数。所以要使用stripslashes()函数三种等级下sql注入的情况很明显了,现在深入。low:http://localhost/dvwa/vulnerabilities/sqli/?id=1orderby2+–+&Submit=Submit#
http://localhost/dvwa/vulnerabilities/sqli/?id=1′orderby2+–+&Submit=Submit#
http://localhost/dvwa/vulnerabilities/sqli/?id=1′unionselect1,2+–+&Submit=Submit#
http://localhost/dvwa/vulnerabilities/sqli/?id=1′unionselect1,concat_ws(char(32,58,32),user(),database(),version())+–+&Submit=Submit#
就这样把当前用户、数据库、php版本爆了出来。concat_ws是mysql里面的函数。medium下会自动加反斜杠转义特殊字符,会破坏查询语句,页面上会提示出错;high下id只有正常情况下才会出现正确信息,其余的都不会出现任何信息。除此之外,high级别中还有两处不同,判断输入是否为数字并将其值用单引号包含起来,以确保非法字符无法起作用。
到high级别的php代码已经达到相当高水平的安全性了,但是不能说一定是最安全的,因为还是可能会出现漏洞的。代码审计就是检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。从而在系统开发阶段/运维阶段进行深入的问题查找和消灭过程。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 代码审计--XSS跨站测试代码大全
- php代码审计
- 对于宽字节注入字符的一些问题以及理解
- 代码审计:审计思路之实例解说全文通读
- phpmailer使用简介
- php算法
- php拓展开发之模块全局变量
- php编程,windows记事本转utf8编码,response开头出现乱码字符的解决办法
- php5.5安装笔记
- AWK 简明教程
- PHP解析过程
- YII 框架 第十天(5)数据处理之DAO
- PHP入门教程
- PHP入门教程
- YII 框架 第十天(4)面包屑导航
- YII 框架 第十天(3)网站模板创建
- Yii 默认控制器 controller
- YII 框架 第十天(2) 错误管理 404页面重定向
- YII 框架 第十天(1) urlManager 地址美化
- ContentProvider/ContentResolver和Uri详解