對於 PHP 的安全性來說錯誤回報是一把雙面刃。一方面可以提高安全性,一方面又有害。
攻擊系統時常使用的手法就是輸入不正確的數據,然後查看錯誤提示的類型及上下文。這樣做有利於攻擊者收集伺服器的資訊以便尋找弱點。比方說,如果一個攻擊者知道了一個頁面所基於的表單信息,那麼他就會嘗試修改變數:
Example #1 用自訂的HTML 頁面攻擊變數
<form method="post" action="attacktarget?username=badfoo&password=badfoo"> <input type="hidden" name="username" value="badfoo" /> <input type="hidden" name="password" value="badfoo" /> </form>
通常PHP 所傳回的錯誤提示都能幫助開發者調試程序,它會提出哪個文件的哪些函數或代碼出錯,並指出錯誤發生的在文件的第幾行,這些就是PHP 本身所能給出的信息。很多PHP 開發者會使用 show_source()、 highlight_string() 或 highlight_file() 函數來除錯程式碼,但是在正式運作的網站中,這種做法可能會暴露出隱藏的變數、未檢查的語法和其它的可能危及系統安全的資訊。在運行一些具有內部調試處理的程序,或使用通用調試技術是很危險的。如果讓攻擊者確定了程式是使用了哪種具體的偵錯技術,他們會嘗試發送變數來開啟偵錯功能:
Example #2 利用變數開啟調式功能
<form method="post" action="attacktarget?errors=Y&showerrors=1&debug=1"> <input type="hidden" name="errors" value="Y" /> <input type="hidden" name="showerrors" value="1" /> <input type="hidden" name="debug" value="1" /> </form>
不管錯誤處理機制如何,可以偵測系統錯誤的能力會提供攻擊者更多資訊。
比如說,PHP 的獨特的錯誤提示風格可以說明系統在運作 PHP。如果攻擊者在尋找 .html 為頁面,想知道其後台的技術(為了尋找系統弱點),他們就會把錯誤的資料提交上去,然後就有可以得知系統是基於 PHP 的了。
一個函數錯誤就可能暴露系統正在使用的資料庫,或為攻擊者提供有關網頁、程式或設計方面的有用資訊。攻擊者往往會順藤摸瓜地找到開放的資料庫端口,以及頁面上某些 bug 或弱點等。比方說,攻擊者可以一些不正常的資料使程式出錯,來探測腳本中認證的順序(透過錯誤提示的行號數字)以及腳本中其它位置可能洩漏的資訊。
一個檔案系統或 PHP 的錯誤就會暴露 web 伺服器具有什麼權限,以及檔案在伺服器上的組織結構。開發者自己寫的錯誤代碼會加劇此問題,導致洩漏了原本隱藏的訊息。
有三個常用的辦法處理這些問題。第一個是徹底檢查所有函數,並嘗試彌補大多數錯誤。第二個是對線上系統徹底關閉錯誤報告。第三個是使用 PHP 自訂的錯誤處理函數來建立自己的錯誤處理機制。根據不同的安全策略,三種方法可能都適用。
一個能提前阻止這個問題發生的方法就是利用 error_reporting() 來幫助使程式碼更安全並發現變數使用的危險之處。在發布程式之前,先開啟 E_ALL 測試程式碼,可以幫你很快找到變數使用不當的地方。一旦準備正式發布,就應該把 error_reporting() 的參數設為 0 來徹底關閉錯誤報告或把 php.ini 中的 display_errors 設為 off 來關閉所有的錯誤顯示以將程式碼隔絕於探測。當然,如果要遲一點再這樣做,就不要忘記打開 ini 文件內的 log_errors 選項,並透過 error_log 指定用於記錄錯誤訊息的檔案。
Example #3 用 E_ALL 來找危險的變數
<?php if ($username) { // Not initialized or checked before usage $good_login = 1; } if ($good_login == 1) { // If above test fails, not initialized or checked before usage readfile ("/highly/sensitive/data/index.html"); } ?>