PHP 약한 유형 안전 문제 요약

얼마 전 난징 우편통신대학교의 네트워크 공격 및 방어 플랫폼에 관한 주제를 쓴 적이 있는데, 글을 쓴 후에도 요약해야 합니다. 문제가 모두 웹형이고 모든 문제가 PHP를 사용하여 작성되었기 때문에 SQL 삽입, XSS 등 기존의 취약점을 검토하지 않는 문제가 대부분 PHP 자체의 구문에 문제가 있습니다. 현재 PHP가 세계 최고의 언어라는 점을 고려하면, PHP 자체의 문제도 웹 보안의 한 측면으로 간주될 수 있습니다. PHP 훈련의 특징은 약한 타이핑과 내장 함수에 의한 수신 매개변수의 느슨한 처리입니다. 이 글은 공격적, 방어적 플랫폼을 구축할 때 직면하게 되는 PHP 함수의 문제점과 PHP의 약한 타입으로 인해 발생하는 문제점을 주로 기록하기 위한 것입니다.
PHP 약한 유형 소개
PHP에서는 다음 작업을 수행할 수 있습니다.
$param = 1;
$param = array();
$param = "stringg";
약한 유형의 언어는 변수의 데이터 유형에 제한이 없습니다. 시간 변수는 다른 유형의 변수에 할당되며 변수는 다른 유형의 데이터로 변환될 수도 있습니다.
타입 변환 문제
타입 변환은 피할 수 없는 문제입니다. 예를 들어, GET 또는 POST 매개변수를 int 유형으로 변환해야 하거나 두 변수가 일치하지 않는 경우 PHP는 자동으로 변수를 변환합니다. 그러나 PHP는 약한 유형의 언어이므로 유형 변환을 수행할 때 예상치 못한 많은 문제가 발생합니다.
비교 연산자
유형 변환
$a==$b
$a=null;$b=flase; //true
$a='';$ b =null; //true
이러한 예가 많이 있으며 이러한 비교는 모두 동일합니다.
비교 연산자를 사용할 때 다음과 같은 유형 변환 문제도 있습니다.
0=='0' //true
0 == 'abcdefg' //true
0 === ' abcdefg ' //false
1 == '1abcdef' //true
다른 유형의 변수를 비교할 때 변수 변환 문제가 발생하며 변환 후 문제가 발생할 수 있습니다.
해시 비교
위의 방법 외에도 해시 비교를 수행할 때에도 문제가 있습니다. 다음과 같습니다:
"0e132456789"=="0e7124511451155" //true
"0e123456abc"=="0e1dddada" //false
"0e1abc"=="0" //true
동안 비교 작업에서 0ed+와 같은 문자열이 발견되면 이 문자열은 과학적 표기법으로 구문 분석됩니다. 따라서 위 예에서 두 숫자의 값은 모두 0이므로 동일합니다. 0ed+가 만족되지 않으면 이 패턴은 동일하지 않습니다. 이 질문은 공격 및 방어 플랫폼의 md5 충돌에서 테스트되었습니다.
16진수 변환
16진수 나머지 문자열을 비교할 때도 문제가 있습니다. 예는 다음과 같습니다.
"0x1e240"=="123456" //true
"0x1e240"==123456 //true
"0x1e240"=="1e240" //false
문자열이 0x로 시작하면 PHP는 문자열을 10진수로 구문 분석한 후 비교합니다. 0×1240을 10진수로 구문 분석하면 123456이므로 int 유형과 문자열 유형의 123456과의 비교는 동일합니다. 공격 및 방어 플랫폼에서 이름을 지정하기 어려운 것은 이러한 검사 특성 때문입니다.
유형 변환
일반적인 변환은 주로 int를 문자열로, 문자열을 int로 변환하는 것입니다.
int를 문자열로:
$var = 5;
방법 1: $item = (string)$var;
방법 2: $item = strval($var); int: intval() 함수입니다.
이 기능에 대해 먼저 두 가지 예를 살펴보세요.
var_dump(intval('2')) //2
var_dump(intval('3abcd')) //3
var_dump(intval('abcd')) //0
설명 intval () 변환 시 숫자가 아닌 문자를 만날 때까지 문자열의 처음부터 변환합니다. 변환할 수 없는 문자열이 있어도 intval()은 오류를 보고하지 않고 0을 반환합니다.
intval()의 이 기능은 공격 및 방어 플랫폼의 MYSQL 문제에서 테스트되었습니다.
동시에 프로그래머는 프로그래밍할 때 다음 코드를 사용해서는 안 됩니다.
if(intval($a)>1000) {
mysql_query("select * from news where id=". $a)
}
이때, $a의 값은 1002 Union이 될 수도 있습니다....
내장 함수의 매개변수의 느슨함
내장 함수의 느슨함은 다음을 의미합니다. 함수가 호출되면 함수가 받아들일 수 없는 매개변수 유형이 함수에 전달됩니다. 설명이 다소 어렵기 때문에 실제 예제를 통해 문제를 직접 설명하겠습니다. 아래에서는 이러한 기능에 중점을 두겠습니다.
md5()
$array1[] = array(
"foo" => "bar",
"bar" => "foo",
); = array("foo", "bar", "hello", "world");
var_dump(md5($array1)==var_dump($array2)) //true
PHP 매뉴얼의 md5() 함수에 대한 설명은 string md5 ( string $str [, bool $raw_output = false ] )이며, md5() 의 필수 매개변수는 문자열 유형 매개변수입니다. 그러나 배열을 전달하면 md5()는 오류를 보고하지 않으며 지식은 배열의 md5 값을 올바르게 계산할 수 없게 됩니다. 이로 인해 두 배열의 md5 값이 동일해집니다. md5()의 이 기능은 공격 및 방어 플랫폼에서도 다시 우회로 고려됩니다.
strcmp()
PHP 공식 매뉴얼의 strcmp() 함수에 대한 설명은 int strcmp( string $str1 , string $str2 )이며, strcmp()에 2개의 문자열 유형 매개변수를 전달해야 합니다. str1이 str2보다 작으면 -1이 반환되고, 같으면 0이 반환되고, 그렇지 않으면 1이 반환됩니다. 문자열을 비교하는 strcmp 함수의 핵심은 두 변수를 ascii로 변환한 후 빼기 연산을 수행하고, 연산 결과에 따라 반환 값을 결정하는 것입니다.
strcmp()에 전달된 매개변수가 숫자이면 어떻게 되나요?
$array=[1,2,3];
var_dump(strcmp($array,'123')); //null은 어떤 의미에서 false와 같습니다.
strcmp의 이 기능은 공격 및 방어 플랫폼의 패스 확인에서 테스트되었습니다.
switch()
switch가 숫자 유형의 대소문자 판단인 경우 스위치는 매개변수를 int 유형으로 변환합니다. 다음과 같습니다:
$i ="2abc";
switch ($i) {
case 0:
case 1:
case 2:
echo "i는 3보다 작습니다. but not negative";
break;
case 3:
echo "i is 3";
}
이때 프로그램 출력은 i is less than 3 but not negative, 스위치로 인해 () 함수는 $i에 대한 유형 변환을 수행하며 변환 결과는 2입니다.
in_array()
PHP 매뉴얼에서 in_array() 함수에 대한 설명은 strict 매개변수가 제공되지 않는 경우 bool in_array (mixed $needle, array $haystack [, bool $strict = FALSE ] )입니다. 이면 in_array는 $needle이 $haystack에 있는지 여부를 결정하기 위해 느슨한 비교가 사용됩니다. stringe의 값이 true이면 in_array()는 needls의 유형과 haystack의 유형을 비교하여 동일한지 확인합니다.
$array=[0,1,2,'3'];
var_dump(in_array('abc', $array)) //true
var_dump(in_array('1bc', $array) ) )); //true
'abc'는 0으로, '1bc'는 1로 변환되므로 위의 상황이 true를 반환하는 것을 볼 수 있습니다.
array_search()와 in_array()에는 동일한 문제가 있습니다.