PHP代码审计3-SQL注入,CSRF,动态函数执行与匿名函数执行,unserialize 反序列化漏洞,变量覆盖,文件管理,文件上传

SQL注入

审计语句  【输入参数】

SELECT,DELETE,UPDATE,INSERT

防御

转义:

1、开启gpc:判断解析用户提示的数据

2、mysql_real_escape_string():转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集

string mysql_real_escape_string ( string $unescaped_string [, resource $link_identifier ] )

3、addslashs():使用反斜线引用字符串

string addslashes ( string $str )

4、关键字过滤

CSRF

审计:敏感表单是否使用token验证(还有token是否随机)

防御

1、验证HTTP Referer字段(可能存在绕过,最好使用下面两种方法)

2、在请求地址中添加token并验证

3、在HTTP头中自定义属性并验证

动态函数与匿名函数

动态:函数与函数之间的调用,可能会产生漏洞

静态:允许临时创建一个没有指定名称的函数。最经常用作回调函数(callback)参数的值。【create_function:创建匿名函数】

unserialize反序列漏洞

序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。

unserialize函数被用于将格式化字符串内的对象进行实例化,在反序列化期间,每个解析元素都有一个索引号,号码从1开始。

mixed unserialize ( string $str )

1、unserialize()中的参数可控

2、脚本中存在一个构造函数、析构函数、__wakeup()函数中有类

3、对象中的成员变量的值

反序列化的变量会覆盖类中变量的值

变量覆盖漏洞

原因:

1、是 register_globals 为 on 的情况,PHP4 默认开启,PHP5 以后默认关闭

2、人为注册了全局变量

全局变量的取值与赋值

文件管理漏洞

PHP 的用于文件管理的函数,如果输入变量可由用户提交,程序中也没有做数据验证,可能成为高危漏洞

常用函数

copy():拷贝文件

bool copy ( string $source , string $dest [, resource $context ] )

将文件从 source 拷贝到 dest

如果要移动文件的话,请使用 rename() 函数。

rmdir():删除目录

bool rmdir ( string $dirname [, resource $context ] )

尝试删除 dirname 所指定的目录。 该目录必须是空的,而且要有相应的权限。

unlink():删除文件

bool unlink ( string $filename [, resource $context ] )

删除 filename。和 Unix C 的 unlink() 函数相似

delete():删除文件,类似unlink()与rmdir()

void delete ( void )

fwrite():写入文件(可安全用于二进制文件)

int fwrite ( resource $handle , string $string [, int $length ] )

fwrite()string 的内容写入 文件指针 handle 处。

chmod():改变文件模式

bool chmod ( string $filename , int $mode )

尝试将 filename 所指定文件的模式改成 mode 所给定的。

fgetc():从文件指针中读取字符

string fgetc ( resource $handle )

从文件句柄中获取一个字符。

fgetcsv():从文件指针中读入一行并解析 CSV 字段

array fgetcsv ( resource $handle [, int $length = 0 [, string $delimiter = ',' [, string $enclosure = '"' [, string $escape = '\\' ]]]] )

从文件指针中读取一行,fgetcsv() 解析读入的行并找出 CSV 格式的字段然后返回一个包含这些字段的数组。

fgets():从文件指针中读取一行

string fgets ( resource $handle [, int $length ] )

fgetss():从文件指针中读取一行并过滤掉 HTML和PHP标记

string fgetss ( resource $handle [, int $length [, string $allowable_tags ]] )

file():把整个文件读入一个数组中

array file ( string $filename [, int $flags = 0 [, resource $context ]] )

file_get_contents():将整个文件读入一个字符串

string file_get_contents ( string $filename [, bool $use_include_path = false [, resource $context [, int $offset = -1 [, int $maxlen ]]]] )

将在参数 offset 所指定的位置开始读取长度为 maxlen 的内容

fread():读取文件(可安全用于二进制文件)

string fread ( resource $handle , int $length )

fread() 从文件指针 handle 读取最多 length 个字节

readfile():输出一个文件

int readfile ( string $filename [, bool $use_include_path = false [, resource $context ]] )

读入一个文件并写入到输出缓冲。

ftruncate():将文件截断到给定的长度

bool ftruncate ( resource $handle , int $size )

接受文件指针 handle 作为参数,并将文件大小截取为 size

file_put_contents():将一个字符串写入文件

int file_put_contents ( string $filename , mixed $data [, int $flags = 0 [, resource $context ]] )

fputcsv():将行格式化为 CSV 并写入文件指针

int fputcsv ( resource $handle , array $fields [, string $delimiter = ',' [, string $enclosure = '"' ]] )

fputs():fwrite() 的别名

fopen():打开文件或者 URL

resource fopen ( string $filename , string $mode [, bool $use_include_path = false [, resource $context ]] )

文件上传漏洞

审计函数:move_uploaded_file():将上传的文件移动到新位置

bool move_uploaded_file ( string $filename , string $destination )

相关的超全局变量$_FILES

防御

1、使用白名单方式检测文件后缀

2、上传之后按时间能算法生成文件名称

3、上传目录脚本文件不可执行

4、注意%00截断

5、Content-Type 验证

上一篇:XMPP 常见错误:(


下一篇:
jquery省市区三级联动