分类 网页与编程 中的文章

高级PHP应用程序漏洞审核技术(1) - 前言

一、前言

    PHP是一种被广泛使用的脚本语言,尤其适合于web开发。具有跨平台,容易学习,功能强
大等特点,据统计全世界有超过34%的网站有php的应用,包括Yahoo、sina、163、sohu等大型
门户网站。而且很多具名的web应用系统(包括bbs,blog,wiki,cms等等)都是使用php开发的,
Discuz、phpwind、phpbb、vbb、wordpress、boblog等等。随着web安全的热点升级,php应
用程序的代码安全问题也逐步兴盛起来,越来越多的安全人员投入到这个领域,越来越多的应
用程序代码漏洞被披露。针对这样一个状况,很多应用程序的官方都成立了安全部门,或者雇
佣安全人员进行代码审计,因此出现了很多自动化商业化的代码审计工具。也就是这样的形
势导致了一个局面:大公司的产品安全系数大大的提高,那些很明显的漏洞基本灭绝了,那些
大家都知道的审计技术都无用武之地了。我们面对很多工具以及大牛扫描过n遍的代码,有很
多的安全人员有点悲观,而有的官方安全人员也非常的放心自己的代码,但是不要忘记了“没
有绝对的安全”,我们应该去寻找新的途径挖掘新的漏洞。本文就给介绍了一些非传统的技术
经验和大家分享。

    另外在这里特别说明一下本文里面很多漏洞都是来源于网络上牛人和朋友们的分享,在
这里需要感谢他们,:)


二、传统的代码审计技术

    WEB应用程序漏洞查找基本上是围绕两个元素展开:变量与函数。也就是说一漏洞的利用
必须把你提交的恶意代码通过变量经过n次变量转换传递,最终传递给目标函数执行,还记得
MS那句经典的名言吗?“一切输入都是有害的”。这句话只强调了变量输入,很多程序员把“输
入”理解为只是gpc[$_GET,$_POST,$_COOKIE],但是变量在传递过程产生了n多的变化。导致
很多过滤只是个“纸老虎”!我们换句话来描叙下代码安全:“一切进入函数的变量是有害的”。

    PHP代码审计技术用的最多也是目前的主力方法:静态分析,主要也是通过查找容易导致
安全漏洞的危险函数,常用的如grep,findstr等搜索工具,很多自动化工具也是使用正则来搜
索这些函数。下面列举一些常用的函数,也就是下文说的字典(暂略)。但是目前基本已有的
字典很难找到漏洞,所以我们需要扩展我们的字典,这些字典也是本文主要探讨的。

    其他的方法有:通过修改PHP源代码来分析变量流程,或者hook危险的函数来实现对应用
程序代码的审核,但是这些也依靠了我们上面提到的字典。


三、PHP版本与应用代码审计

    到目前为止,PHP主要有3个版本:php4、php5、php6,使用比例大致如下:

php4 68%
2000-2007,No security fixes after 2008/08,最终版本是php4.4.9

php5 32%
2004-present,Now at version 5.2.6(PHP 5.3 alpha1 released!)

php6
目前还在测试阶段,变化很多做了大量的修改,取消了很多安全选项如magic_quotes_gpc。
(这个不是今天讨论的范围)

    由于php缺少自动升级的机制,导致目前PHP版本并存,也导致很多存在漏洞没有被修补。
这些有漏洞的函数也是我们进行WEB应用程序代码审计的重点对象,也是我们字典重要来源。


四、其他的因素与应用代码审计

    很多代码审计者拿到代码就看,他们忽视了“安全是一个整体”,代码安全很多的其他因素
有关系,比如上面我们谈到的PHP版本的问题,比较重要的还有操作系统类型(主要是两大阵营
win/*nix),WEB服务端软件(主要是iis/apache两大类型)等因素。这是由于不同的系统不同
的WEB SERVER有着不同的安全特点或特性,下文有些部分会涉及。

    所以我们在做某个公司WEB应用代码审计时,应该了解他们使用的系统,WEB服务端软件,
PHP版本等信息。

Pader 2009-8-21 0

form.reset() 失效,对象不支持此属性或方法的原因

今天在做一个 ajax 的 form 的时候,在提交完执行 reset() 函数重置该表单,结果浏览器总是提示对象不支持此属性或方法,我使用 document.forms['form1'].reset(); 和 document.getElementById('form1').reset(); 都不行,查了 id 和 name 都是对的,哎,废话不多说了,后来我把表单独立拿出来试终于找到原来在 form1 里我给一个重置按钮设置了 id="reset" 导致和 reset() 冲突,于是去掉这个 id 就OK了,OK,Thank you!

Pader 2009-8-19 0

国外服务器php时间不正确处理方法

网上有些介绍是使用类似下面这段语句
function_exists('date_default_timezone_set') && date_default_timezone_set('Asia/Shanghai');
但很多时候这样不知为啥并没有用,现在发现使用下面这句才有效:
ini_set('date.timezone','Asia/Shanghai');

Pader 2009-8-17 0

热烈祝贺博客模板制作完成

如您所见,模板将分类放在了上方,我觉得把分类放在侧栏根本没有人去关注,于是使用了曾经较为流行的放在上方模排的方式.

还有我最喜欢自己做的左边的小日历啦,此日历的灵感来源于一个比较小的PNG图标,哈哈.

目前模板还有一些细节等地方没有制做完成,不过大体上已经OK了,下面会慢慢完善细节!这是本人目前做的 Sablog-x 唯一一款模板,也是到现在为止第一款.

为了祝贺模板制作完成,今晚去吃烧烤.

Pader 2009-8-16 0

我的博客模板

刚刚完成了根据主站的博客模板效果图大部分制作,洗澡睡觉去了...

Pader 2009-8-14 0