Web应用安全之OS命令安全隐患

概要

Web应用开发使用的编程语言大多提供了通过Shell调用OS命令的功能，如果调用方法不当，就可能导致意料之外的OS命令被执行。称为OS命令注入。

典型攻击流程

1.从外部下载专门用来攻击软件。
2.对下载的软件授予执行权限。
3.从内部攻击OS漏洞以取得管理员权限（Local Exploit）
4.攻击者在服务器上为所欲为。

可进行的恶意行为

1.浏览、篡改或删除Web服务器内的文件。
2.对外发送邮件。
3.攻击其他服务器。

例子1

发送邮件时，接收页面脚本如下system("/usr/sbin/sendmail -i <template.txt> $mail");

当我们实施OS命令注入时，在表单的邮箱地址输入123@qq.com;cat /etc/passwd
页面上会显示 /etc/passwd/的内容

安全隐患产生原因

因为shell提供了一次启动多个命令的语法，因此外界就可以在参数中做手脚，使在原有命令的基础上执行其它的命令。
还有一种情况是虽然开发者没想要调用OS命令，但在无意中使用了内部会启动Shell的函数，典型例子为Perl的open函数。
综上所述：
1.通过Shell调用OS命令时，没有转义Shell的元字符。
2.使用了内部调用Shell的函数

一

$ echo aaa ; echo bbb #连续执行命令
aaa
bbb
$ echo aaa & echo bbb #在后台和前台执行
aaa
bbb
[1] + Done                    echo aaa
$ echo aaa && echo bbb #如果第一个命令执行成功就执行第二个命令
aaa
bbb
$ cat aaa || echo bbb      #如果第一个命令执行失败就执行第二个命令
cat : aaa : No such file or direction
bbb
$ wc ' ls '                            #将倒引号（'）中的字符串作为命令执行
13 34 350 oscom001.php
40 99 839 sqlo001.php
53 133 1189 total
$ echo aaa | wc               #将第一个命令的输出作为第2个命令的输入
      1              1                               4
windos的cmd.exe 中能够使用&来连续执行多条命令，另外|（管道功能）、&&或||的用法也和Unix一样。

Shell中拥有特殊意义字符被称为元字符，把元字符当作普通字符使用时需要考虑转义。参考Shell相关手册。

而在指定OS命令参数的字符串中混入了Shell的元字符，就会使攻击着添加的OS命令被执行。

二

如Perl的open函数，是用于打开文件的函数，然而根据open的调用方法的不同，有些情况下会通过Shell执行OS命令。例如通过open函数启动Linux的pwd命令（显示当前目录名的命令）只要像下面的CGI脚本一样，调用open函数时在命令名后面加上管道符号|即可。

#! /usr/bin/perl
print "Content-Type: text/plain\n\n<body>";
open FL, ' /bin/pwd | ' or die $!;
print <FL>
close FL;
print "</body>";

当前目录名就会通过pwd命令显示出来。
但是如果外界能指定文件名，就通过在文件名的前后加上管道符号 | 来实施OS命令注入攻击。
例如
file = ls + /sbin|

原因总结

需要同时满足以下三项条件
1.使用了内部调用Shell的函数（system、open等）
2.将外界传入的参数传递给内部调用Shell的函数
3.参数中Shell的元字符没有被转义

对策

推荐度由高到低
1.选择不调用OS命令的实现方法。
2.避免使用内部调用Shell的函数。
3.不将外界输入的字符串传递给命令行参数。
4.使用安全的函数对传递给OS命令的参数进行转义、

在设计阶段决定对策方针

总体设计阶段
1.决定主要功能的代码实现方针。
2.尽量利用专门的程序库，迫不得已时再使用OS命令来实现。
详细设计阶段
1.设计各功能的详细的实现方式时，极力避免使用内部调用Shell的函数。
2.只要使用内部调用Shell的函数时，讨论决定是将参数固定，还是由标准输入来指定参数。

关于内部调用Shell的函数

PHP
system()       exec()       passthru()            proc_open()           popen()           shell_exec()         ',,,'

Perl
exec()            system()        '...'          qx/.../           open()

Ruby
exec()             system()         '...'