[转]浅谈php web安全

8/31/2015来源:PHP技巧人气:1146

[转]浅谈php web安全 Posted on 2014-08-15 17:17 龙翔天下 阅读(...) 评论(...) 编辑 收藏

原文地址:http://blogread.cn/it/article/6086?f=wb

前言:

首先,笔记不是web安全的专家,所以这不是web安全方面专家级文章,而是学习笔记、细心总结文章,里面有些是我们phper不易发现或者说不重视的东西。所以笔者写下来方便以后查阅。在大公司肯定有专门的web安全测试员,安全方面不是phper考虑的范围。但是作为一个phper对于安全知识是:“知道有这么一回事,编程时自然有所注意”。有什么不妥、错误的请联系:chen_bin_wen@163.com/445235728@QQ.com

概要

1、php一些安全配置

(1)关闭php提示错误功能

(2)关闭一些“坏功能”

(3)严格配置文件权限。

2、严格的数据验证,你的用户不全是“好”人

2.1为了确保程序的安全性,健壮性,数据验证应该包括内容。

2.2程序员容易漏掉point或者说需要注意的事项

3、防注入

3.1简单判断是否有注入漏洞以及原理

3.2常见的MySQL注入语句

(1)不用用户名和密码

(2)在不输入密码的情况下,利用某用户

(3)猜解某用户密码

(4)插入数据时提权

(5)更新提权和插入提权同理

(6)恶意更新和删除

(7)union、join等

(8)通配符号%、_

(9)还有很多猜测表信息的注入sql

33防注入的一些方法

2.3.1 php可用于防注入的一些函数和注意事项。

2.3.2防注入字符优先级。

2.3.3防注入代码

(1)参数是数字直接用intval()函数

(2)对于非文本参数的过滤

(3)文本数据防注入代码。

(4)当然还有其他与addslashes、mysql_escape_string结合的代码。

4、防止xss攻击

4.1Xss攻击过程

4.2常见xss攻击地方

4.3防XSS方法

5、CSRF

5.1简单说明CSRF原理

5.2防范方法

6、防盗链

7、防拒CC攻击

---------------------------------------------------------------------

1php一些安全配置

(1)关闭php提示错误功能

在php.ini 中把display_errors改成

  1. display_errors = OFF

或在php文件前加入

  1. error_reporting(0)

1)使用error_reporting(0);失败的例子:

A文件代码:

  1. <?

  2. error_reporting(0);

  3. echo 555

  4. echo 444;

  5. ?>

错误:

Parse error: parse error, expecting `','' or `';'' in E:\webphp\2.php on line 4

2)使用error_reporting(0);成功的例子:

a文件代码:

  1. <?php

  2. error_reporting(0);

  3. include("b.php");

  4. ?>

b文件代码:

  1. <?php

  2. echo 555

  3. echo 444;

  4. ?>

这是很多phper说用error_reporting(0)不起作用。第一个例子A.php里面有致命错误,导致不能执行,不能执行服务器则不知有这个功能,所以一样报错。

第二个例子中a.php成功执行,那么服务器知道有抑制错误功能,所以就算b.php有错误也抑制了。

ps:抑制不了mysql错误。

(2)关闭一些“坏功能”

1)关闭magic quotes功能

在php.ini 把magic_quotes_gpc = OFF

避免和addslashes等重复转义

2)关闭register_globals = Off

在php.ini 把register_globals = OFF

在register_globals = ON的情况下

地址栏目:http:www.phpben.com?bloger=benwin

  1. <?php

  2. //$bloger = $_GET['bloger'] //因为register_globals = ON 所以这步不用了直接可以用$bloger

  3. echo$bloger;

  4. ?>

这种情况下会导致一些未初始化的变量很容易被修改,这也许是致命的。所以把register_globals = OFF关掉

(3)严格配置文件权限。

为相应文件夹分配权限,比如包含上传图片的文件不能有执行权限,只能读取

2、严格的数据验证,你的用户不全是“好”人

记得笔者和一个朋友在讨论数据验证的时候,他说了一句话:你不要把你用户个个都想得那么坏!但笔者想说的这个问题不该出现在我们开发情景中,我们要做的是严格验证控制数据流,哪怕10000万用户中有一个是坏用户也足以致命,再说好的用户也有时在数据input框无意输入中文的时,他已经不经意变“坏”了。

2.1为了确保程序的安全性,健壮性,数据验证应该包括

(1)关键数据是否存在。如删除数据id是否存在

(2)数据类型是否正确。如删除数据id是否是整数

(3)数据长度。如字段是char(10)类型则要strlen判断数据长度

(4)数据是否有危险字符

数据验证有些人主张是把功能完成后再慢慢去写安全验证,也有些是边开发边写验证。笔者偏向后者,这两种笔者都试过,然后发现后者写的验证相对健壮些,主要原因是刚开发时想到的安全问题比较齐全,等开发完功能再写时有两个问题,一个phper急于完成指标草草完事,二是确实漏掉某些point。

2.2程序员容易漏掉point或者说需要注意的事项:

(1)进库数据一定要安全验证,笔者在广州某家公司参与一个公司内部系统开发的时候,见过直接把$_POST数据传给类函数classFunctionName($_POST),理由竟然是公司内部使用的,不用那么严格。暂且不说逻辑操作与数据操控耦合高低问题,连判断都没判断的操作是致命的。安全验证必须,没任何理由推脱。

(2)数据长度问题,如数据库建表字段char(25),大多phper考虑到是否为空、数据类型是否正确,却忽略字符长度,忽略还好更多是懒于再去判断长度。(这个更多出现在新手当中,笔者曾经也有这样的思想)

(3)以为前端用js判断验证过了,后台不需要判断验证。这也是致命,要知道伪造一个表单就几分钟的事,js判断只是为了减少用户提交次数从而提高用户体验、减少http请求减少服务器压力,在安全情况下不能防“小人”,当然如果合法用户在js验证控制下是完美的,但作为phper我们不能只有js验证而抛弃再一次安全验证。

(4)缺少对表单某些属性比如select、checkbox、radio、button等的验证,这些属性在web页面上开发者已经设置定其值和值域(白名单值),这些属性值在js验证方面一般不会验证,因为合法用户只有选择权没修改权,然后phper就在后端接受数据处理验证数据的时候不会验证这些数据,这是一个惯性思维,安全问题也就有了,小人一个伪表单足矣致命。

(5)表单相应元素name和数据表的字段名一致,如用户表用户名的字段是user_name,然后表单中的用户名输入框也是user_name ,这和暴库没什么区别。

(6)过滤危险字符方面如防注入下面会独立讲解。

3、防注入

3.1简单判断是否有注入漏洞以及原理。

网址:http:www.phpben.com/benwin.php?id=1 运行正常,sql语句如:select * from phpben where id = 1

(1) 网址:http:www.phpben.com/ benwin.php?id=1’ sql语句如:select * from phpben where id = 1’ 然后运行异常 这能说明benwin.php文件没有对id的值进行“’” 过滤和intval()整形转换,当然想知道有没有对其他字符如“%”,“/*”等都可以用类似的方法穷举测试(很多测试软件使用)

(2)网址:http:www.phpben.com/ benwin.php?id=1 and 1=1 则sql语句可能是 select * from phpben where id = 1 and 1=1,运行正常且结果和http:www.phpben.com/benwin.php?id=1结果一样,则说明benwin.php可能没有对空格“ ”、和“and”过滤(这里是可能,所以要看下一点)

(3)网址:http:www.phpben.com/ benwin.php?id=1 and 1=2则sql语句可能是 select * from phpben where id = 1 and 1=2 如果运行结果异常说明sql语句中“and 1=2”起作用,所以能3个条件都满足都则很确定的benwin.php存在注入漏洞。

ps:这里用get方法验证,post也可以,只要把值按上面的输入,可以一一验证。

这说明

3.2常见的mysql注入语句。

(1)不用用户名和密码

  1. //正常语句

  2. $sql ="select * from phpben where user_name='admin' and pwd ='123'";

  3. //在用户名框输入’or’=’or’或 ’or 1=’1 然后sql如下

  4. $sql ="select * from phpben where user_name=' 'or'='or'' and pwd ='' ";

  5. $sql ="select * from phpben where user_name=' 'or 1='1' and pwd ='' ";

这样不用输入密码。话说笔者见到登录框都有尝试的冲动。

(2)在不输入密码的情况下,利用某用户。

  1. //正常语句

  2. $sql ="select * from phpben where user_name='$username' and pwd ='$pwd'";

  3. //利用的用户名是benwin 则用户名框输入benwin’# 密码有无都可,则$sql变成

  4. $sql ="select * from phpben where user_name=' benwin'#' and pwd ='$pwd'";

这是因为mysql中其中的一个注悉是“#”,上面语句中#已经把后面的内容给注悉掉,所以密码可以不输入或任意输入。网上有些人介绍说用“/*”来注悉,笔者想提的是只有开始注悉没结束注悉“*/”时,mysql会报错,也不是说“/**/”不能注悉,而是这里很难添加上“*/”来结束注悉,还有“-- ”也是可以注悉mysql 但要注意“--”后至少有一个空格也就是“-- ”,当然防注入代码要把三种都考虑进来,值得一提的是很多防注入代码中没把“-- ”考虑进防注入范围。

(3)猜解某用户密码

  1. //正常语句

  2. $sql ="select * from phpben.com where user_name='$username' and pwd ='$pwd'";

  3. //在密码输入框中输入“benwin’ and left(pwd,1)='p'#”,则$sql是

  4. $sql ="select * from phpben.com where user_name=' benwin' and left(pwd,1)='p'#' and pwd ='$pwd'";

如果运行正常则密码的密码第一个字符是p,同理猜解剩下字符。

(4)插入数据时提权

  1. //正常语句,等级为1

  2. $sql = "insert into phpben.com (`user_name`,`pwd`,`level`) values(‘benwin','iampwd',1) ";

  3. //通过修改密码字符串把语句变成

  4. $sql = "insert into phpben.com (`user_name`,`pwd`,`level`) values(‘benwin','iampwd',5)#',1) ";

  5. $sql = "insert into phpben.com (`user_name`,`pwd`,`level`) values(‘benwin','iampwd',5)-- ',1) ";这样就把一个权限为1的用户提权到等级5

(5)更新提权和插入提权同理

  1. //正常语句

  2. $sql = "update phpben set `user_name` ='benwin', level=1";

  3. //通过输入用户名值最终得到的$sql

  4. $sql = "update phpben set `user_name` ='benwin',level=5#', level=1";

  5. $sql = "update phpben set `user_name` ='benwin',level=5-- ', level=1";

(6)恶意更新和删除

  1. //正常语句

  2. $sql = "update phpben set `user_name` = ‘benwin' where id =1";

  3. //注入后,恶意代码是“1 or id>0”

  4. $sql = "update phpben set `user_name` = ‘benwin' where id =1 or id>0";