PHP程序的常见漏洞攻击分析.docVIP

PHP程序的常见漏洞攻击分析 不是固若金汤，随着PHP的广泛运用，一些黑客们也在无时不想找PHP的麻烦，通过PHP程序漏洞进行攻击就是其中一种。在节，我们将从全局变量，远程文件，文件上载，库文件，Session文件，数据类型和容易出错的函数这几个方面分析了PHP的安全性。 如何通过全局变量进行攻击？ PHP中的变量不需要事先声明，它们会在第一次使用时自动创建，它们的类型根据上下文环境自动确定。从程序员的角度来看，这无疑是一种极其方便的处理方法。一旦一个变量被创建了，就可以在程序中的任何地方使用。这个特点导致的结果就是程序员很少初始化变量。 很显然，基于PHP的应用程序的主函数一般都是接受用户的输入（主要是表单变量，上载文件和Cookie等），然后对输入数据进行处理，然后把结果返回到客户端浏览器。为了使PHP代码访问用户的输入尽可能容易，实际上PHP是把这些输入数据看作全局变量来处理的。 例如： PHP代码 1. FORM METHOD=GET ACTION=test.php 2. INPUT TYPE=TEXT NAME=hello 3. INPUT TYPE=SUBMIT 4. /FORM 　　这会显示一个文本框和提交按钮。当用户点击提交按钮时，test.php会处理用户的输入，当test.php运行时，$hello会包含用户在文本框输入的数据。从这里我们应该看出，攻击者可以按照自己的意愿创建任意的全局变量。如果攻击者不是通过表单输入来调用test.php，而是直接在浏览器地址栏输入http://server/test.php?hello=hisetup=no，那么，不止是$hello被创建，$setup也被创建了。 下面的用户认证代码暴露了PHP的全局变量所导致的安全问题： PHP代码 1. ?php 2. if ($pass == hello) 3. $auth = 1; 4. ... 5. if ($auth == 1) 6. echo some important information; 7. ? 　　上面的代码首先检查用户的密码是否为hello，如果匹配的话，设置$auth为1，即通过认证。之后如果$suth为1的话，就会显示一些重要信息。 这段代码假定$auth在没有设置值的时候是空的，但是攻击者可以创建任何全局变量并赋值，通过类似http://server/test.php?auth=1的方法，我们完全可以欺骗这段代码，使它相信我们是已经认证过的。 因此，为了提高PHP程序的安全性，我们不能相信任何没有明确定义的变量。如果程序中的变量很多的话，这可是一项非常艰巨的任务。 一种常用的保护方式就是检查数组HTTP_GET[]或POST_VARS[]中的变量，这依赖于我们的提交方式（GET或POST）。当PHP配置为打开track_vars选项的话（这是缺省值），用户提交的变量就可以在全局变量和上面提到的数组中获得。 但是值得说明的是，PHP有四个不同的数组变量用来处理用户的输入。HTTP_GET_VARS数组用来处理GET方式提交的变量，HTTP_POST_VARS数组用于处理POST方式提交的变量；HTTP_COOKIE_VARS数组用于处理作为cookie头提交的变量，而对于HTTP_POST_FILES数组（比较新的PHP才提供），则完全是用户用来提交变量的一种可选方式。用户的一个请求可以很容易的把变量存在这四个数组中，因此一个安全的PHP程序应该检查这四个数组。 如何通过远程文件进行攻击？ PHP是一种具有丰富特性的语言，提供了大量的函数，使编程者很容易实现特定功能。但是从安全的角度来看，功能越多，要保证它的安全性就越难，远程文件就佐证这个问题的一个很好例子： PHP代码 1. ?php 2. if (!($fd = fopen($filename, r)) 3. echo(Could not open file: $filename＜BR＞\n); 4. ? 　　上面的脚本试图打开文件$filename，如果失败就显示错误信息。很明显，如果我们能够指定$filename的话，就能利用这个脚本浏览系统中的任何文件。但是，这个脚本还存在一个不太明显的特性，那就是它可以从任何其它WEB或FTP站点读取文件。实际上，PHP的大多数文件处理函数对远程文件的处理是透明的。 例如： 如果指定$filename为 http://target/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir 则上面的代码实际上是利用