PHP에서 보안 위험이 있는 평가를 금지하는 방법

웹사이트는 이전에 해커의 공격을 받은 적이 있으며, PHP의 평가 기능이 보안상 큰 위험을 안고 있다는 것을 알게 되었습니다. 오늘은 eval을 비활성화하는 방법을 소개하겠습니다. 필요하시면 참고하시면 됩니다.

얼마 전 웹사이트가 해커의 침입을 받았습니다. 나중에 조사 중에 내용이 거의 없는 PHP를 발견했습니다.

<?php eval($_POST[asda123131323156341]);?>

그런 다음 온라인에서 PHP의 평가 기능을 검색하여 이것을 발견했습니다. 평가 기능이 매우 위험합니다.

로컬에서 테스트하고 로컬 환경에서 PHP를 작성하면 내용은 다음과 같습니다.

default.php:

<?php eval($_GET[asda]);?>

그런 다음 다음을 방문하세요: localhost/test/default.php?asda=phpinfo();

할 수 있습니다. phpinfo가 실행되었는지 확인하세요.

또는 localhost/test/default.php?asda = echo 11111을 방문하면 1111이 에코되는 것을 확인할 수 있습니다.

유사한 방법은 다음과 같습니다:

<?php $code="${${eval($_GET[c])}}";?>

localhost/test/default.php?c=phpinfo()를 방문하여

<?php
$code=addslashes($_GET[c]);
eval(""$code""); 
?>

localhost/test/default.php?c=${${phpinfo( )}}를 확인하세요.

PHP를 실행할 수 있는 eval 함수를 사용하면 해커는 이를 이용해 PHP 업로드 등 일부 백그라운드 트로이 목마를 업로드한 다음 URL을 통해 PHP에 액세스하여 더 큰 권한을 얻을 수 있습니다. 이러한 유형의 침입을 한 문장 트로이 목마라고 합니다. 예를 들어, 다음 내용으로 HTML을 작성하세요:

<html> 
<body> 
<form action="default.php" method="post"> 
<input type="text" name="c" value="phpinfo();"> 
<input type="submit" value="submit"> 
</form> 
</body> 
</html>

그런 다음 다음 내용으로 default.php를 작성하세요: 5f557f62ae7ac7a14e0b1cb564790dfc

<?php eval($_POST[c]);?>

이 경우 실행하려는 PHP를 직접 제출하고 실행할 수 있습니다.

그래서 eval()은 PHP 보안에 큰 파괴력을 가지고 있습니다. eval 함수는 애플리케이션의 보안을 약화시키므로 일반적으로 사용되지 않는 경우에는 다음과 같은 트로이 목마 침입을 방지하기 위해 금지해야 합니다!

그러나 인터넷에서 eval을 비활성화하기 위해 비활성화 기능을 사용하는 많은 방법은 잘못되었습니다!

실제로 eval()은 php.ini에서 비활성화 함수를 사용하여 비활성화할 수 없습니다.

왜냐하면 eval()은 함수가 아니라 언어 구성이기 때문입니다.

eval은 zend이므로 PHP_FUNCTION 함수가 아닙니다.

그래서요. PHP에 대해 eval을 금지하는 것은 어떻습니까?

eval을 비활성화하려면 PHP 확장 Suhosin을 사용할 수 있습니다.

Suhosin을 설치한 후 Suhosin.so를 php.ini에 로드하고 suhosin.executor.disable_eval = on을 추가하세요!

결론적으로, PHP에서는 eval 기능을 비활성화할 수 없으므로 플러그인만 사용할 수 있습니다!

평가 기능을 비활성화하기 위해 suhosin을 설치하는 단계: (테스트되지 않음)

지침:

php 설치 디렉터리: /usr/local/php5

php.ini 구성 파일 경로: /usr/local/php5 /etc /php.ini

Nginx 설치 디렉터리:/usr/local/nginx

Nginx 웹사이트 루트 디렉터리:/usr/local/nginx/html

1 컴파일 도구

yum install wget  make gcc gcc-c++ zlib-devel openssl openssl-devel pcre-devel kernel keyutils  patch perl

2를 설치합니다.

3. suhosin을 지원하도록 PHP 구성

cd /usr/local/src   #进入软件包存放目录
wget  http://download.suhosin.org/suhosin-0.9.33.tgz    #下载
tar zxvf suhosin-0.9.33.tgz   #解压
cd suhosin-0.9.33   #进入安装目录
/usr/local/php5/bin/phpize   #用phpize生成configure配置文件
./configure  --with-php-config=/usr/local/php5/bin/php-config   #配置
make   #编译
make install   #安装
安装完成之后，出现下面的界面，记住以下路径，后面会用到。
Installing shared extensions: /usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/   #suhosin模块路径

참고: suhosin.executor.disable_eval = on은 평가 기능을 비활성화하는 데 사용됩니다

4 Test

vi /usr/local/nginx/html/phpinfo.php #Edit

vi /usr/local/php5/etc/php.ini  
 #编辑配置文件，在最后一行添加以下内容 
extension=/usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/suhosin.so
suhosin.executor.disable_eval = on

:wq! #저장하고 종료

service php-fpm 재시작 #restartphp-fpm

서비스 nginx 재시작 #Restart nginx

참고: Apache인 경우에도 동일합니다. Apache를 다시 시작하면 됩니다.

브라우저에서 phpinfo.php를 열면 아래 그림과 같이 수호신 관련 정보를 볼 수 있습니다

이제 리눅스에서 수호신 php 설치가 완료되었습니다!

참고: 평가를 비활성화하면 어떤 결과가 발생하나요? 우선, 유명한 Discuz! Forum이나 PHPWind Forum과 같이 코드에서 eval을 사용하는 소프트웨어는 정상적으로 사용할 수 없으며, phpMyAdmin의 이전 버전에도 영향을 미칩니다. 최신 3.2.5로 업데이트되어 사용이 가능하지만, 경고를 취소하려면 config.inc.php에 $cfg['SuhosinDisableWarning']=true; 를 추가하세요.

참고: eval 외에도 Assert도 비슷한 방식으로 사용됩니다.

추천 학습:

php 비디오 튜토리얼

위 내용은 PHP에서 보안 위험이 있는 평가를 금지하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!