源代碼

及缺陷掃描技術(shù)如何參考自動(dòng)化審核報(bào)告對(duì)源代碼進(jìn)行加固1Seay工具報(bào)告分析1232PHP下代碼SQL注入產(chǎn)生和代碼加固結(jié)束源代碼 及缺陷掃描技術(shù)Seay工具報(bào)告分析Seay報(bào)告分析幾個(gè)重要的php.ini選項(xiàng)命令注入eval注入客戶(hù)端

植入XSSSQL注入跨

請(qǐng)求Session劫持文件上傳3Seay報(bào)告分析幾個(gè)重要的php.ini選項(xiàng)幾個(gè)重要的php.ini選項(xiàng)7點(diǎn)擊此處添加腳注信息Register

Globalsphp>=4.2.0，php.ini的register_globals選項(xiàng)的默認(rèn)值預(yù)設(shè)為

Off，當(dāng)register_globals的設(shè)定為On時(shí)，程序可以接收來(lái)自服務(wù)器的各種環(huán)境變量，包括表單提交的變量，而且由于PHP不必事先初始化變量的值，從而導(dǎo)致很大的安全隱患。幾個(gè)重要的php.ini選項(xiàng)8點(diǎn)擊此處添加腳注信息例1://check_admin()用于檢查當(dāng)前用戶(hù)權(quán)限，如果是admin設(shè)置$is_admin變量為true，然后下面判斷此變量是否為true,然后執(zhí)行管理的一些操作。//ex1.php<?phpif

(check_admin()){$is_admin=

true;}if

($is_admin){do_something();}?>幾個(gè)重要的php.ini選項(xiàng)點(diǎn)擊此處添加腳注信息這一段代碼沒(méi)有將$is_admin事先初始化為Flase，如果register_globals為On，那么 直接提交h

/ex1.php?is_admin=true,就可以繞過(guò)

check_admin()的驗(yàn)證9幾個(gè)重要的php.ini選項(xiàng)10點(diǎn)擊此處添加腳注信息例2://ex2.php<?phpif

(isset($_SESSION["username"])){do_something();}else{echo"您尚未登錄!";}?>幾個(gè)重要的php.ini選項(xiàng)點(diǎn)擊此處添加腳注信息當(dāng)register_globals=On時(shí)， 提交h

/ex2.php?_SESSION[username]=dodo,就具有了此用戶(hù)的權(quán)限。所以不管register_globals為什么， 都要記住，對(duì)于任何傳輸?shù)臄?shù)據(jù)要經(jīng)過(guò)仔細(xì)驗(yàn)證，變量要初始化。11幾個(gè)重要的php.ini選項(xiàng)12點(diǎn)擊此處添加腳注信息安全模式PHP用來(lái)限制文檔的存取，限制環(huán)境變量的存取，控制外部程序的執(zhí)行。啟用安全模式必須設(shè)置php.ini中的

safe_mode=On。幾個(gè)重要的php.ini選項(xiàng)13點(diǎn)擊此處添加腳注信息限制文件存取safe_mode_include_dir

="/path1:/path2:/path3“限制環(huán)境變量的存取

safe_mode_allowed_env_vars=string

指定PHP程序可以改變的環(huán)境變量的前綴,如:safe_mode_allowed_env_vars=PHP_,當(dāng)這個(gè)選項(xiàng)的值為空時(shí),那么php可以改變?nèi)魏苇h(huán)境變量safe_mode_protected_env_vars

=

string用來(lái)指定php程序不可改變的環(huán)境變量的前綴幾個(gè)重要的php.ini選項(xiàng)點(diǎn)擊此處添加腳注信息3.限制外部程序的執(zhí)行

safe_mode_exec_dir=string此選項(xiàng)指定的文件夾路徑影響system.exec.popen.passthru,不影響s

_exec。disable_functions

=

string不同的函數(shù)名稱(chēng)用逗號(hào)隔開(kāi),此選項(xiàng)不受安全模式影響14幾個(gè)重要的php.ini選項(xiàng)點(diǎn)擊此處添加腳注信息magic

quotes用來(lái)讓php程序的輸入信息自動(dòng)轉(zhuǎn)義，所有的單引號(hào)，雙引號(hào)，反斜杠和空字符，都自動(dòng)被加上反斜杠進(jìn)行轉(zhuǎn)義magic_quotes_gpc=

On

用來(lái)設(shè)置magic

quotes

為On，它會(huì)影響HTTP請(qǐng)求的數(shù)據(jù)(GET.POST.

s)程序員也可以使用addslashes來(lái)轉(zhuǎn)義提交的HTTP請(qǐng)求數(shù)據(jù)，或者用stripslashes來(lái)刪除轉(zhuǎn)義。15命令注入命令注入點(diǎn)擊此處添加腳注信息PHP中可以使用下列函數(shù)來(lái)執(zhí)行外部的應(yīng)用程序或函數(shù)systemexecpassthrus

_exec17命令注入點(diǎn)擊此處添加腳注信息string

system(string

command,

int

&return_var)command

要執(zhí)行

令return_var

存放執(zhí)行命令的執(zhí)行后的狀態(tài)值string

exec

(string

command,array

&output,

int&return_var)command

要執(zhí)行

令output

獲得執(zhí)行命令輸出的每一行字符串return_var

存放執(zhí)行命令后的狀態(tài)值void

passthru(string

command,

int

&return_var)command

要執(zhí)行

令return_var

存放執(zhí)行命令后的狀態(tài)值strings _exec

(string

command)command

要執(zhí)行

令18命令注入實(shí)例<?php$dir

=

$_GET["dir"];if

(isset($dir)){echo

"<pre>";system("ls-al

".$dir);echo

"</pre>";}?>提交h /ex1.php?dir=|

cat/etc/passwd提交以后,命令變成了system("ls-al|cat

/etc/passwd");點(diǎn)擊此處添加腳注信息19eval注入eval注入點(diǎn)擊此處添加腳注信息eval函數(shù)將輸入的字符串參數(shù)當(dāng)作PHP程序代碼來(lái)執(zhí)行。函數(shù)原型:mixed

eval(stringcode_str)eval注入一般發(fā)生在者能控制輸入的字符串的時(shí)候。21eval注入點(diǎn)擊此處添加腳注信息<?php$var

=

"var";if

(isset($_GET["arg"])){$arg

=

$_GET["arg"];eval("$var

=

$arg;");echo

"$var

=".$var;}?>/ex2.php?arg=phpinfo();漏當(dāng) 提交

h洞就產(chǎn)生了22eval注入23點(diǎn)擊此處添加腳注信息動(dòng)態(tài)函數(shù)<?phpfunc

A(){dosomething();}funcB(){dosomething();}if(isset($_GET["func"])){$myfunc

=$_GET["func"];eval(

$myfunc.’();’);}?>eval注入點(diǎn)擊此處添加腳注信息h程序員原意是想動(dòng)態(tài)調(diào)用A和B函數(shù)，那 提交/ex.php?func=phpinfo

產(chǎn)生。24eval注入點(diǎn)擊此處添加腳注信息防范方法盡量不要執(zhí)行外部命令使用自定義函數(shù)或函數(shù)庫(kù)來(lái)替代外部命令的功能使用escapes

arg函數(shù)來(lái)處理命令參數(shù)使用safe_mode_exec_dir指定可執(zhí)行文件的路徑25客戶(hù)端 植入客戶(hù)端 植入點(diǎn)擊此處添加腳注信息客戶(hù)端 植入(Script

Insertion)，是指將可以執(zhí)行的到表單、、動(dòng)畫(huà)或超

者所植入的文字等對(duì)象內(nèi)。當(dāng)用就會(huì)被執(zhí)行。進(jìn)而戶(hù)打開(kāi)這些對(duì)象后，開(kāi)始

。27客戶(hù)端 植入點(diǎn)擊此處添加腳注信息可以被用作1.<script>植入的HTML

一般包括以下幾種:標(biāo)記的javascript和vbscript等頁(yè)面 程序，在<script>

內(nèi)可以指定js程序代碼，也可以在src屬性?xún)?nèi)指定js文件的URL路徑。<object>

標(biāo)記的對(duì)象。這些對(duì)象是java

applet、多文件和ActiveX控件等。通常在data屬性?xún)?nèi)指定對(duì)象的URL路徑。<embed>

標(biāo)記的對(duì)象。這些對(duì)象是多

文件。例如：swf文件。通常在src屬性?xún)?nèi)指定對(duì)象的URL路徑。<applet>

標(biāo)記的對(duì)象。這些對(duì)象是java

applet，通常在

codebase屬性?xún)?nèi)指定對(duì)象的URL路徑。<form>

標(biāo)記的對(duì)象。通常在action屬性?xún)?nèi)指定要處理表單數(shù)據(jù)的web應(yīng)用程序的URL路徑。28客戶(hù)端 植入點(diǎn)擊此處添加腳注信息客戶(hù)端 植入的 步驟1.

者 普通用戶(hù)后登陸

。2.打開(kāi)留言頁(yè)面，的js代碼。其他用戶(hù)登錄

(包括管理員)，瀏覽此留言的內(nèi)容。隱藏在留言?xún)?nèi)容中的js代碼被執(zhí)行， 成功。29客戶(hù)端 植入點(diǎn)擊此處添加腳注信息<script>while(1){windows.open();}</script>無(wú)限彈框<script>location.href=”htt

”;</script>跳轉(zhuǎn) 頁(yè)面或者使用其他自行構(gòu)造的js代碼進(jìn)行30客戶(hù)端 植入點(diǎn)擊此處添加腳注信息防范的方法一般使用htmlspecialchars函數(shù)來(lái)將特殊字符轉(zhuǎn)換成HTML編碼。函數(shù)原型：string

htmlspecialchars

(string

string,

int

quote_style,stringcharset)string

是要編碼的字符串quote_style

可選，值可為

PAT、ENT_QUOTES、ENT_NOQUOTES，默認(rèn)值

PAT，表示只轉(zhuǎn)換雙引號(hào)不轉(zhuǎn)換單引號(hào)。ENT_QUOTES，表示雙引號(hào)和單引號(hào)都要轉(zhuǎn)換。ENT_NOQUOTES，表示雙引號(hào)和單引號(hào)都不轉(zhuǎn)換charset

可選,表示使用的字符集31客戶(hù)端 植入點(diǎn)擊此處添加腳注信息示例<?php

echo

htmlspecialchars(nl2br($row['question']),ENT_QUOTES);

?>32XSSXSS點(diǎn)擊此處添加腳注信息XSS(Cross

Site

Scripting)，意為跨

，為了和樣式表css(Cascading

Style

Sheet)區(qū)別，縮寫(xiě)為XSS?？缯?是通過(guò)在網(wǎng)頁(yè)中加入

代碼，當(dāng)

者瀏覽網(wǎng)頁(yè)時(shí)

代碼會(huì)被執(zhí)行或者通過(guò)給管理員發(fā)信息

的方式誘使管理員瀏覽，從而獲得管理員權(quán)限， 。攻擊者利用跨站請(qǐng)求

能夠輕松地強(qiáng)迫用戶(hù)的瀏覽器發(fā)出非故意的HTTP請(qǐng)求，如詐騙性的電匯

請(qǐng)求、修改口令和的內(nèi)容等請(qǐng)求。34XSS點(diǎn)擊此處添加腳注信息跨站的一般步驟:1、 者以某種方式發(fā)送xss的http

給目標(biāo)用戶(hù)；2、目標(biāo)用戶(hù)登錄此，在登陸期間打開(kāi)了者發(fā)送的xss

；3、 執(zhí)行了此xss；4、目標(biāo)用戶(hù)頁(yè)面跳轉(zhuǎn)到 者的

， 者取得了目標(biāo)用戶(hù)的信息；5、

者使用目標(biāo)用戶(hù)的信息登錄

，完成

。35XSS點(diǎn)擊此處添加腳注信息者可以構(gòu)當(dāng)有存在跨站造類(lèi)似htmethod=”P(pán)OST”>，跨站的程序出現(xiàn)的時(shí)候，/search.php?key=”進(jìn)去了36XSS防御方法<?phpif

(isset($_POST['name'])){$str=trim($_POST['name']); //清理空格$str=strip_tags($str); //過(guò)濾html$str=htmlspecialchars($str); //將字符內(nèi)容轉(zhuǎn)化為html實(shí)體$str

=

addslashes($str);echo

$str;}?>點(diǎn)擊此處添加腳注信息37SQL注入SQL注入點(diǎn)擊此處添加腳注信息SQL注入(SQL

Injection)，是

者在表單中提交精心構(gòu)造的sql語(yǔ)句，改動(dòng)原來(lái)的sql語(yǔ)句，如果web程序沒(méi)有對(duì)提交的數(shù)據(jù)經(jīng)過(guò)檢查，那么就會(huì)造成sql注入。39SQL注入點(diǎn)擊此處添加腳注信息SQL注入1、

者的一般步驟:有SQL注入 的站點(diǎn)，尋找注入點(diǎn)；2、 者構(gòu)造注入語(yǔ)句，注入語(yǔ)句和程序中的SQL語(yǔ)句結(jié)合生成新的sql語(yǔ)句；3、新的sql語(yǔ)句被提交到數(shù)據(jù)庫(kù)中執(zhí)行處理；4、數(shù)據(jù)庫(kù)執(zhí)行了新的SQL語(yǔ)句，

SQL注入

。40SQL注入點(diǎn)擊此處添加腳注信息$query

=

"select

*

from

postmessage

whereid

=".$_GET["id"];$result

=mysql_query($query)ordie("執(zhí)行ySQL查詢(xún)語(yǔ)句失?。?.mysql_error());提交and1=1，語(yǔ)句變成select*

from

postmessage

where

id=71

and

1=1

這語(yǔ)句前值后值都為真，and以后也為真，返回查詢(xún)到的數(shù)據(jù)提交and1=2，語(yǔ)句變成select*

from

postmessage

where

id=71

and

1=2

這語(yǔ)句前值為真，后值為假，and以后為假，查詢(xún)不到任何數(shù)據(jù)41SQL注入點(diǎn)擊此處添加腳注信息防范方法1、整型參數(shù):運(yùn)用intval函數(shù)將數(shù)據(jù)轉(zhuǎn)換成整數(shù)函數(shù)原型:int

intval(mixed

var,int

base)var是要轉(zhuǎn)換成整形的變量base，可選，是基礎(chǔ)數(shù)，默認(rèn)是1042SQL注入點(diǎn)擊此處添加腳注信息2、浮點(diǎn)型參數(shù):運(yùn)用floatval或doubleval函數(shù)分別轉(zhuǎn)換單精度和雙精度浮點(diǎn)型參數(shù)函數(shù)原型:int

floatval(mixed

var)int

doubleval(mixedvar)var是要轉(zhuǎn)換的變量3、字符型參數(shù):運(yùn)用addslashes函數(shù)43SQL注入點(diǎn)擊此處添加腳注信息//執(zhí)行mysql查詢(xún)語(yǔ)句$query

=

"select

*

from

postmessage

whereid

=".intval($_GET["id"]);$result

=mysql_query($query)or

die("執(zhí)行ySQL查詢(xún)語(yǔ)句失敗：".mysql_error());44SQL注入點(diǎn)擊此處添加腳注信息if(get_magic_quotes_gpc()){$var

=

$_GET["var"];}else{$var

=addslashes($_GET["var"]);}45跨 請(qǐng)求跨 請(qǐng)求點(diǎn)擊此處添加腳注信息CSRF(Cross

SiteRequest

Forgeries)，意為跨請(qǐng)求 ，也有寫(xiě)為XSRF。

者 目標(biāo)用戶(hù)的HTTP請(qǐng)求，然后此請(qǐng)求發(fā)送到有CSRF

的

， 執(zhí)行此請(qǐng)求后， 跨站請(qǐng)求

。 者利用隱蔽的HTTP連接，讓目標(biāo)用戶(hù)在不注意的情況下單擊這個(gè) ，由于是用戶(hù)自己點(diǎn)擊的，而他又是合法用戶(hù)擁有合法權(quán)限，所以目標(biāo)用戶(hù)能夠在 內(nèi)執(zhí)行特定的HTTP

，從而達(dá)到 者的目的。47跨 請(qǐng)求點(diǎn)擊此處添加腳注信息例如:某個(gè)購(gòu)物商品時(shí)，采用h/buy.php?item=watch&num=1，item參數(shù)確定要 什么物品，num參數(shù)確定要數(shù)量，如果攻擊者以隱藏的方式發(fā)送給目標(biāo)用戶(hù) ，那么如果目標(biāo)用戶(hù)不 以后， 的數(shù)量就成了1000個(gè)。48跨 請(qǐng)求include_once("dlyz.php");//dlyz.php用戶(hù)驗(yàn)證權(quán)限，當(dāng)權(quán)限是admin的時(shí)候方可刪除留言include_once("../conn.php");$del=$_GET["del"];$id=$_GET["id"];if($del=="data"){$ID_Dele=

implode(",",$_POST['adid']);$sql="deletefrom

book

where

id

in

(".$ID_Dele.")";mysql_query($sql);}點(diǎn)擊此處添加腳注信息49跨 請(qǐng)求else{$sql="delete

from

book

where

id=".$id;//傳遞要?jiǎng)h除的留言IDmysql_query($sql);}mysql_close($conn);echo

"";echo"alert(‘刪除成功！’);";echo

"

location=’book.php’;";echo

"";點(diǎn)擊此處添加腳注信息50跨 請(qǐng)求點(diǎn)擊此處添加腳注信息利用方法:使用普通用戶(hù)留言（源代碼方式），內(nèi)容為"delbook.php?id=2"/>"delbook.php?id=3"

/>"delbook.php?id=4"

/>"delbook.php?id=5"

/>4張

分別刪除4個(gè)id留言，然后

返回首頁(yè)瀏覽看，沒(méi)有什么變化。。 顯示不了51跨 請(qǐng)求點(diǎn)擊此處添加腳注信息現(xiàn)在

再用管理員賬號(hào)登陸后，來(lái)刷新首頁(yè)，會(huì)發(fā)現(xiàn)留言就剩一條，其他在 中指定的ID號(hào)的留言，全部都被刪除。者在留言中 隱藏的，此 具有刪除留言的作用，而 者自己這些的時(shí)候，是不具 限的，所以看不到任何效果，但是當(dāng)管理員登陸后，查看此留言，就會(huì)執(zhí)行隱藏的 ，而他的權(quán)限又是足夠大的，從而這些留言就被刪除了52跨 請(qǐng)求點(diǎn)擊此處添加腳注信息防范方法防范CSRF要比防范其他 更加 ，因?yàn)镃SRF的HTTP請(qǐng)求雖然是

者 的，但是卻是由目標(biāo)用戶(hù)發(fā)出的，一般常見(jiàn)的防范方法有下面幾種:1、檢查網(wǎng)頁(yè)的來(lái)源2、檢查內(nèi)置的隱藏變量3、使用POST，不要使用GET53Session劫持Session劫持點(diǎn)擊此處添加腳注信息服務(wù)端和客戶(hù)端之間是通過(guò)session(會(huì)話(huà))來(lái)連接溝通。當(dāng)客戶(hù)端的瀏覽器連接到服務(wù)器后，服務(wù)器就會(huì)建立一個(gè)該用戶(hù)的session。每個(gè)用戶(hù)的session都是獨(dú)立的，并且由服務(wù)器來(lái) 。每個(gè)用戶(hù)的session是由一個(gè)獨(dú)特的字符串來(lái)識(shí)別，成為sessionid。用戶(hù)發(fā)出請(qǐng)求時(shí)，所發(fā)送的http表頭內(nèi)包含sessionid的值。服務(wù)器使用http表頭內(nèi)的sessionid來(lái)識(shí)別時(shí)哪個(gè)用戶(hù)提交的請(qǐng)求。55Session劫持點(diǎn)擊此處添加腳注信息session保存的是每個(gè)用戶(hù)的個(gè)人數(shù)據(jù)，一般的web應(yīng)用程序會(huì)使用session來(lái)保存通過(guò)驗(yàn)證的用戶(hù)賬號(hào)和 。在轉(zhuǎn)換不同的網(wǎng)頁(yè)時(shí)，如果

需要驗(yàn)證用戶(hù) ，就是用session內(nèi)所保存的賬號(hào)和 來(lái)比較。session的生命周期從用戶(hù)連上服務(wù)器后開(kāi)始，在用戶(hù)關(guān)掉瀏覽器或是注銷(xiāo)時(shí)用戶(hù)session_destroy函數(shù)刪除session數(shù)據(jù)時(shí)結(jié)束。如果用戶(hù)在20分鐘內(nèi)沒(méi)有使用計(jì)算機(jī)的動(dòng)作，session也會(huì)自動(dòng)結(jié)束。56Session劫持點(diǎn)擊此處添加腳注信息一旦獲取到session

id， 者可以利用目標(biāo)用戶(hù)的身份來(lái)登錄 ，獲取目標(biāo)用戶(hù)的操作權(quán)限。1）者獲取目標(biāo)用戶(hù)session

id的方法::嘗試各種session

id，直到 為止；計(jì)算:如果session

id使用非隨機(jī)的方式產(chǎn)生，那么就有可能計(jì)算出來(lái)；竊取:使用網(wǎng)絡(luò)截獲，xss

等方法獲得。57Session劫持點(diǎn)擊此處添加腳注信息//index.phpsession_start();//打開(kāi)Session訪(fǎng)客的Session

ID

是：echo

session_id();訪(fǎng)客：echo

htmlspecialchars($_GET["user"],ENT_QUOTES);book商品的數(shù)量：echohtmlspecialchars($_SESSION["book"],

ENT_QUOTES);如果登錄成功，使用$_SESSION["username"]保存賬號(hào)$_SESSION["password"]

保存#_SESSION["book"]

保存 商品數(shù)目58Session劫持點(diǎn)擊此處添加腳注信息開(kāi)始//attack.phpsession_start();//打開(kāi)Sessionecho"目標(biāo)用戶(hù)的Session

ID是：".session_id()."";

echo"目標(biāo)用戶(hù)的username是：".$_SESSION["username"]

.

"";echo"目標(biāo)用戶(hù)的password是：".$_SESSION["password"].

"";//將book的數(shù)量設(shè)置為2000$_SESSION["book"]

=

2000;59Session劫持點(diǎn)擊此處添加腳注信息提交mhgr9nsg45

此ID為獲取到的客戶(hù)session

id,刷新客戶(hù)頁(yè)面以后 的商品變成了200060Session劫持點(diǎn)擊此處添加腳注信息session固定可以使用把session

id發(fā)給用戶(hù)的方式，來(lái)完成把此 發(fā)送給dodo這個(gè)用戶(hù)顯示然后 者再后，客戶(hù)頁(yè)面刷新，發(fā)現(xiàn)商品數(shù)量已經(jīng)成了200061Session劫持62點(diǎn)擊此處添加腳注信息防范方法1、定期更改session

id函數(shù)bool

session_regenerate_id([bool

delete_old_session])delete_old_session為true，則刪除舊的session文件；為

false，則保留舊的session，默認(rèn)false，可選在index.php開(kāi)頭加上session_start();session_regenerate_id(TRUE);這樣每次從新加載都會(huì)產(chǎn)生一個(gè)新的session

idSession劫持點(diǎn)擊此處添加腳注信息2、更改session的名稱(chēng)session的默認(rèn)名