얼마 전 난징 우편통신대학교의 네트워크 공격 및 방어 플랫폼에 관한 주제를 쓴 적이 있는데, 글을 쓴 후에도 요약해야 합니다. 문제가 모두 웹형이고 모든 문제가 PHP를 사용하여 작성되었기 때문에 SQL 삽입, XSS 등 기존의 취약점을 검토하지 않는 문제가 대부분 PHP 자체의 구문에 문제가 있습니다. 현재 PHP가 세계 최고의 언어라는 점을 고려하면, PHP 자체의 문제도 웹 보안의 한 측면으로 간주될 수 있습니다. PHP의 특징은 약한 유형 지정과 내장 함수에 의한 수신 매개변수의 느슨한 처리입니다. 이 글은 공격적, 방어적 플랫폼을 구축할 때 직면하게 되는 PHP 함수의 문제점과 PHP의 약한 타입으로 인해 발생하는 문제점을 주로 기록하기 위한 것입니다.
PHP 약한 유형 소개
$param = 1; $param = array(); $param = "stringg";약한 유형의 언어는 변수의 데이터 유형에 제한이 없습니다. 언제든지 다른 유형의 변수에 변수를 할당할 수 있으며 변수를 다른 유형의 변수로 변환할 수도 있습니다. 데이터.
형 변환 문제
형 변환은 피할 수 없는 문제입니다. 예를 들어, GET 또는 POST 매개변수를 int 유형으로 변환해야 하거나 두 변수가 일치하지 않는 경우 PHP는 자동으로 변수를 변환합니다. 그러나 PHP는 약한 유형의 언어이므로 유형 변환을 수행할 때 예상치 못한 많은 문제가 발생합니다.비교 연산자
형식 변환
in $a==$ In b의 비교에는$a=null;$b=flase ; //true$a='';$b=null;//true의 예가 많고 이러한 비교는 모두 동일합니다. 비교 연산자를 사용할 때 다음과 같은 유형 변환 문제도 있습니다.
0=='0'//true0 == 'abcdefg'//true0 === 'abcdefg'//false1 == '1abcdef'//true다른 유형의 변수를 비교할 경우 변환 후 변수 변환 문제가 발생할 수 있습니다. .
해시 비교
위의 방법 외에도 해시 비교를 수행할 때에도 문제가 있습니다."0e132456789"=="0e7124511451155" //true"0e123456abc"=="0e1dddada"//false"0e1abc"=="0" //true비교 연산을 수행할 때 0ed+와 같은 문자열이 발견되면 이 문자열을 과학적 표기법으로 구문 분석합니다. 따라서 위 예에서 두 숫자의 값은 모두 0이므로 동일합니다. 0ed+가 만족되지 않으면 이 패턴은 동일하지 않습니다. 이 질문은 공격 및 방어 플랫폼의 md5 충돌에서 테스트되었습니다.
16진수 변환
16진수 나머지 문자열을 비교할 때도 문제가 있습니다. 예는 다음과 같습니다."0x1e240"=="123456"//true "0x1e240"==123456//true "0x1e240"=="1e240"//false문자열 중 하나가 0x로 시작하면 PHP는 문자열을 십진수로 구문 분석한 다음 이를 비교합니다. 0×1240을 십진수로 구문 분석하면 123456입니다. 123456 유형과 문자열 유형 간의 비교는 모두 동일합니다. 공격 및 방어 플랫폼에서 이름을 지정하기 어려운 것은 이러한 검사 특성 때문입니다.
유형 변환
일반적인 변환은 주로 int를 문자열로, 문자열을 int로 변환하는 것입니다. int를 문자열로:$var = 5;방법 1: $item = (string)$var;
방법 2: $item = strval($var);
var_dump(intval('2'))//2 var_dump(intval('3abcd'))//3 var_dump(intval('abcd'))//0intval()을 변환할 때 숫자가 아닌 문자를 만날 때까지 문자열의 처음부터 변환한다고 설명합니다. 변환할 수 없는 문자열이 있어도 intval()은 오류를 보고하지 않고 0을 반환합니다. intval()의 이 기능은 공격 및 방어 플랫폼의 MYSQL 문제에서 테스트되었습니다. 동시에 프로그래머는 프로그래밍 시 다음 코드를 사용하면 안 됩니다.
if(intval($a)>1000) { mysql_query("select * from news where id=".$a) }이때 $a의 값은 1002 Union이 될 수 있습니다...
내장 함수 매개변수의 느슨함
$array1[] = array( "foo" => "bar", "bar" => "foo", ); $array2 = array("foo", "bar", "hello", "world"); var_dump(md5($array1)==var_dump($array2));//truePHP 매뉴얼의 md5() 함수 설명은 string md5 ( string $str [, bool $raw_output = false ] ), in md5( ) 문자열 유형 매개변수여야 합니다. 그러나 배열을 전달하면 md5()는 오류를 보고하지 않으며 지식은 배열의 md5 값을 올바르게 계산할 수 없게 됩니다. 이로 인해 두 배열의 md5 값이 동일해집니다. md5()의 이 기능은 공격 및 방어 플랫폼에서도 다시 우회로 고려됩니다. strcmp()strcmp() 함수는 PHP 공식 매뉴얼에서 int strcmp( string $str1 , string $str2 )로 설명되어 있으며 두 가지 문자열 유형을 strcmp에 전달해야 합니다. () 매개변수. str1이 str2보다 작으면 -1이 반환되고, 같으면 0이 반환되고, 그렇지 않으면 1이 반환됩니다. 문자열을 비교하는 strcmp 함수의 핵심은 두 변수를 ascii로 변환한 후 빼기 연산을 수행하고, 연산 결과에 따라 반환 값을 결정하는 것입니다. strcmp()에 전달된 매개변수가 숫자이면 어떻게 되나요?
$array=[1,2,3]; var_dump(strcmp($array,'123')); //null,在某种意义上null也就是相当于false。Strcmp는 공격 및 방어 플랫폼의 패스 체크에서 테스트된 기능입니다. switch()switch가 숫자 유형인 경우 스위치는 매개변수를 int 유형으로 변환합니다. 다음과 같습니다:
$i ="2abc"; switch ($i) { case 0: case 1: case 2: echo "i is less than 3 but not negative"; break; case 3: echo "i is 3"; }이때 프로그램 출력은 i가 3보다 작지만 음수는 아닙니다. 이는 switch() 함수가 $i에 대해 유형 변환을 수행하고 변환 결과가 2이기 때문입니다. . in_array()
在PHP手册中,in_array()函数的解释是bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ),如果strict参数没有提供,那么in_array就会使用松散比较来判断$needle是否在$haystack中。当strince的值为true时,in_array()会比较needls的类型和haystack中的类型是否相同。
$array=[0,1,2,'3']; var_dump(in_array('abc', $array)); //true var_dump(in_array('1bc', $array)); //true
可以看到上面的情况返回的都是true,因为’abc’会转换为0,’1bc’转换为1。
array_search()与in_array()也是一样的问题。