如何通過Session文件進行攻擊?
PHP 4或更新的版本提供了對sessions的支持,它的主要作用是在PHP程序中保存頁與頁之間的狀態信息。例如,當一個用戶登陸進入網站,他登陸了的這個事實以及誰登陸進入這個網站的相關信息都將被保存在session中,當他在網站中到處浏覽時,所有的PHP代碼都可以獲得這些狀態信息。
事實上,當一個session啟動時(實際上是在配置文件中設置為在第一次請求時自動啟動),就會生成一個隨機的"session id",如果遠程浏覽器總是在發送請求時提交這個"session id"的話,session就會一直保持。這通過Cookie很容易實現,也可以通過在每頁提交一個表單變量(包含"session id")來實現。PHP程序可以用session注冊一個特殊的變量,它的值會在每個PHP腳本結束後存在session文件中,也會在每個PHP腳本開始前加載到變量中。下面是一個簡單的例子:
<?php
session_destroy(); // Kill any data currently in the session
$session_auth = "shaun";
session_register("session_auth"); // Register $session_auth as a session variable
?>
新版本的PHP都會自動把"$session_auth"的值設置為"shaun",如果它們被修改的話,以後的腳本都會自動接受修改後的值,這對無狀態的Web來說的確是種很不錯的工具,但是我們也應該小心。
一個很明顯的問題就是確保變量的確來自session,例如,給定上面的代碼,如果後續的腳本是下面這樣的話:
<?php
if (!empty($session_auth))
// Grant access to site here
?>
上面的代碼假定如果"$session_auth"被賦值的話,就是從session,而不是從用戶輸入來賦值的,如果攻擊者通過表單輸入來賦值的話,他就可以獲得對站點的訪問權。注意攻擊者必須在session注冊該變量之前使用這種攻擊方法,一旦變量被放進了session,就會覆蓋任何表單輸入。
Session數據一般是保存在文件中(位置是可配置的,一般是"/tmp"),文件名一般是類似"sess_<session id>"的形式,這個文件包含變量名稱,變量類型,變量值和一些其它的數據。在多主機系統中,因為文件是以運行Web服務器的用戶身份(一般是nobody)保存的,因此惡意的站點擁有者就可以通過創建一個session文件來獲得對其它站點的訪問,甚至可以檢查session文件中的敏感信息。
Session機制也為攻擊者把自己的輸入保存在遠程系統的文件中提供了另一個方便。對於上面的例子來說,攻擊者需要在遠程系統放置一個包含PHP代碼的文件,如果不能利用文件上載做到的話,他通常會利用session為一個變量按照自己的意願賦一個值,然後猜測session文件的位置,而他知道文件名是"php<session id>",所以只需猜測目錄,而目錄一般就是"/tmp"。
另外,攻擊者可以任意指定"session id"(例如"hello"),然後用這個"session id"創建一個session文件(例如"/tmp/sess_hello"),但是"session id"只能是字母和數字組合。
如何通過數據類型進行攻擊?
PHP具有比較松散的數據類型,變量的類型依賴於它們所處的上下文環境。例如:"$hello"開始是字符串變量,值為"",但是在求值時,就變成了整形變量"0",這有時可能會導致一些意想不到的結果。如果"$hello"的值為"000"還是為"0"是不同的,empty()返回的結果也不會為真。
PHP中的數組是關聯數組,也就是說,數組的索引是字符串型的。這意味著"$hello["000"]"和"$hello[0]"也是不同的。
開發程序的時候應該仔細地考慮上面的問題,例如,我們不應該在一個地方測試某個變量是否為"0",而在另外的地方使用empty()來驗證。
如何通過容易出錯的函數進行攻擊?下面是一份比較詳細的容易出錯的函數列表:
<PHP代碼執行>
require():讀取指定文件的內容並且作為PHP代碼解釋
include():同上
eval():把給定的字符串作為PHP代碼執行
preg_replace():當與"/e"開關一起使用時,替換字符串將被解釋為PHP代碼
<命令執行>
exec():執行指定的命令,返回執行結果的最後一行
passthru():執行指定命令,返回所有結果到客戶浏覽器
``:執行指定命令,返回所有結果到一個數組
system():同passthru(),但是不處理二進制數據
popen():執行指定的命令,把輸入或輸出連接到PHP文件描述符
<文件洩露>
fopen():打開文件,並對應一個PHP文件描述符
readfile():讀取文件的內容,然後輸出到客戶浏覽器
file():把整個文件內容讀到一個數組中
如何增強PHP的安全性?
我們在上面介紹的所有攻擊對於缺省安裝的PHP4都可以很好的實現,但是PHP的配置非常靈活,通過配置一些PHP選項,我們完全可能抵抗其中的一些攻擊。下面我們按照實現的難度對一些配置進行了分類:
*低難度
**中低難度
***中高難度
****高難度
如果你使用了PHP提供的所有選項的話,那麼你的PHP將是很安全的,即使是第三方的代碼也是如此,因為其中很多功能已經不能使用。
**** 設置"register_globals"為"off"
這個選項會禁止PHP為用戶輸入創建全局變量,也就是說,如果用戶提交表單變量"hello",PHP不會創建"$ hello",而只會創建"HTTP_GET/POST_VARS['hello']"。這是PHP中一個極其重要的選項,關閉這個選項,會給編程帶來很大的不便。
*** 設置"safe_mode"為"on"
打開這個選項,會增加如下限制:
1. 限制哪個命令可以被執行
2. 限制哪個函數可以被使用
3. 基於腳本所有權和目標文件所有權的文件訪問限制
4. 禁止文件上載功能
這對於ISP來說是一個"偉大"的選項,同時它也能極大地改進PHP的安全性。
** 設置"open_basedir"
這個選項可以禁止指定目錄之外的文件操作,有效地消除了本地文件或者是遠程文件被include()的攻擊,但是仍需要注意文件上載和session文件的攻擊。
** 設置"display_errors"為"off",設置"log_errors"為"on"
這個選項禁止把錯誤信息顯示在網頁中,而是記錄到日志文件中,這可以有效的抵制攻擊者對目標腳本中函數的探測。
* 設置"allow_url_fopen"為"off"
這個選項可以禁止遠程文件功能。
