CGI モードで PHP をインストールするときに考えられる攻撃と解決策

PHP をサーバー側ソフトウェア (Apache など) に埋め込んでモジュールとしてインストールしたくない場合は、CGI モードでインストールすることを選択できます。または、PHP とさまざまな CGI ラッパーを使用して、コード用に安全な chroot および setuid 環境を作成します。このインストール方法では通常、PHP 実行可能ファイルが Web サーバーの cgi-bin ディレクトリにインストールされます。 PHP はスタンドアロンのインタープリターとして使用できますが、その設計により次のタイプの攻撃を防ぐことができます:

システム ファイルへのアクセス: URL リクエストの http://my.host/cgi-bin/php?/etc/passwd疑問符 (?) の後は、名前付き行のパラメータとして CGI インターフェイスに渡されます。他のインタープリターは、コマンドラインの最初の引数で指定されたファイルを開いて実行します。ただし、CGI モードでインストールされた PHP インタープリターが呼び出された場合、これらのパラメーターの解釈は拒否されます。

サーバー上の任意のディレクトリにアクセスします: http://my.host/cgi-bin/php/secret/doc.html 上記の場合、PHP インタープリターが存在するディレクトリの背後にある URL 情報 /secret/doc.html見つかった情報は定期的に CGI プログラムに渡され、解釈されます。通常、一部の Web サーバーは、http://my.host/secret/script.php などのページにリダイレクトします。この場合、一部のサーバーは、 http://my.host/cgi-bin/php/secret/script.php のページへのリダイレクトを作成する前に、 /secret ディレクトリへのユーザーのアクセス許可をチェックします。残念ながら、多くのサーバーは、/secret/script.php にアクセスするユーザーの権限をチェックせず、/cgi-bin/php の権限のみをチェックするため、/cgi-bin/php にアクセスできるユーザーは Web ディレクトリにアクセスできます。任意のファイルの。 PHP では、コンパイル時構成オプション --enable-force-cgi-redirect と実行時構成命令 doc_root および user_dir により、サーバー上のファイルとディレクトリに制限を追加して、このような攻撃を防ぐことができます。各オプションの設定については、以下で詳しく説明します。

シナリオ 1: パブリック ファイルのみを実行します

Web サーバー内のすべてがパスワードまたは IP アドレスによって制限されている場合は、これらのオプションを設定する必要はありません。 Web サーバーがリダイレクトをサポートしていない場合、または Web サーバーがアクセス要求の安全性を高めるために PHP と通信できない場合は、configure スクリプトで --enable-force-cgi-redirect オプションを指定できます。さらに、PHP プログラムが http://my.host/cgi-bin/php/dir/script.php への直接アクセスやリダイレクトによるアクセスなど、他の呼び出し方法に依存していないことも確認する必要があります。 http://my .host/dir/script.php に。

Apache では、AddHandler ステートメントと Action ステートメントを使用してリダイレクトを設定できます。

ケース 2: --enable-force-cgi-redirect オプションを使用する

このコンパイル オプションにより、http://my.host/cgi-bin/php/secretdir/script.php などの URL に直接アクセスできなくなります。 PHP を呼び出します。このモードの PHP は、Web サーバーのリダイレクト ルールを通過した URL のみを解析します。

通常、Apache でのリダイレクト設定は次のコマンドで完了できます:

Action php-script /cgi-bin/php
AddHandler php-script .php

このオプションは Apache でのみテストされており、リダイレクト操作で Apache によって設定された非標準 CGI 環境変数 REDIRECT_STATUS に依存します。 Web サーバーが、リクエストが直接リクエストであるかリダイレクトリクエストであるかを判断する方法をサポートしていない場合、このオプションは使用できず、他の方法を使用する必要があります。

シナリオ 3: doc_root または user_dir の設定

Web サーバーのメイン ドキュメント ディレクトリにスクリプトや実行可能プログラムなどの動的コンテンツを含めることは、危険な行為であると考えられる場合があります。設定ミスによりスクリプトの実行に失敗し、通常のHTML文書として表示されると、知的財産やパスワード情報の漏洩につながる可能性があります。そのため、多くのシステム管理者は、PHP CGI 経由でのみアクセスできるディレクトリを特別に設定し、そのディレクトリ内の内容は解析されるだけで、そのまま表示されないようにします。

リダイレクトするかどうかを決定できない上記の状況では、メインのドキュメント ディレクトリの外にスクリプト専用の doc_root ディレクトリを作成する必要があります。

PHP スクリプトのホーム ディレクトリは、設定ファイルの doc_root を使用するか、環境変数 PHP_DOCUMENT_ROOT を設定することで定義できます。このオプションが設定されている場合、PHP は doc_root ディレクトリ内のファイルのみを解釈し、ディレクトリ外のスクリプトは PHP インタープリタによって実行されないようにします (後述の user_dir を除く)。

もう 1 つの使用可能なオプションは user_dir です。 user_dir が設定されていない場合、ファイルを開く場所を制御するオプションは doc_root だけです。 http://my.host/~user/doc.php などの URL にアクセスすると、ユーザーのホーム ディレクトリ内のファイルは開かれず、doc_root ディレクトリ内の ~user/doc.php のみが実行されます (これはサブディレクトリは [ ~] で始まります)。

public_php などの user_dir が設定されている場合、 http://my.host/~user/doc.php のようなリクエストは、ユーザーのホーム ディレクトリの下の public_php サブディレクトリにある doc.php ファイルを実行します。ユーザーのホームディレクトリの絶対パスを/home/userとすると、実行されるファイルは/home/user/public_php/doc.phpとなります。

user_dir 的设置与 doc_root 无关，所以可以分别控制 PHP 脚本的主目录和用户目录。

情形四：PHP 解释器放在 web 目录以外

一个非常安全的做法就是把 PHP 解释器放在 web 目录外的地方，比如说 /usr/local/bin。这样做唯一不便的地方就是必须在每一个包含 PHP 代码的文件的第一行加入如下语句：

#!/usr/local/bin/php

还要将这些文件的属性改成可执行。也就是说，要像处理用 Perl 或 sh 或其它任何脚本语言写的 CGI 脚本一样，使用以 #! 开头的 shell-escape 机制来启动它们。

在这种情况下，要使 PHP 能正确处理 PATH_INFO 和 PATH_TRANSLATED 等变量的话，在编译 PHP 解释器时必须加入 --enable-discard-path 参数。