搜索
首页后端开发php教程经验分享:如何用grep对PHP进行代码审计

这是一个常见的误解— 企业需要购买复杂和昂贵的软件来发现应用程序中安全漏洞;而这些专门的软件应用程序,无论是黑盒或白盒,开源或商业,都能很快的发现安全漏洞。

事实是:所有这些专业的漏洞扫描工具都有其特定的优势和劣势。有些可能是 ASP 为中心的,而其他工具更倾向于 PHP 。开发团队可能会因为提高扫描速度的要求,会忽略不值得被报告的漏洞。如果你想在一定时间内找到尽可能多的安全漏洞,需要使用所有的工具。

没有一个漏洞扫描器或技术会发现你应用程序中 100% 的安全漏洞,即便你使用了各种工具和技术。这篇文章中我将介绍另一种方式,你可以通过只使用命令行工具 grep 来捕获这些漏洞。

黑盒/白盒

让我们先来了解下什么是黑盒白盒测试。黑盒测试就是你没有任何关于评估对象(应用 / 网络 / 公司)的资料。白盒测试则完全相反,你可能有任何你需要的信息,包括网络范围,源代码,电话号码等。灰盒测试则是介于两者之间。在现实中,大多数评估是灰盒评估。因为要么一点预备信息都没有,或者需要的的信息都有,这两种情况非常少见。

通过 Grep 寻找 bugs 会被归类为白盒评估或“代码审查”。 Web 应用程序的漏洞扫描程序,如 Netsparker , nikto , wvs 等将被归类为黑盒测试的工具,

因为他们(在大多数情况下)将无法访问任何服务器端源代码。

如果你想尽可能的找到多的安全漏洞,需要结合黑盒 Web 应用程序扫描和白盒的代码审计。

Grep

如果你正在阅读这篇文章,我会假设你很熟悉 grep 工具的基本概念。如果不是,这里将会对这个强大的工具做个简介。

grep 是由 Ken Thompson 创建,并于 1973 年发布,作为使用正则表达式匹配的文件行的 UNIX 搜索工具。目前大多数的 *nix 都预装了 grep 。

在 *nix 操作系统,我们可以使用命令 ‘man grep’ 来查看工具的功能。或者使用命令 ‘grep –help ‘阅读帮助。

在这篇文章中我使用 GNU grep 的版本为 2.5.4 。如果你的 GNU grep 版本较旧,那么该文章中的某些命令可能无法正常工作。要检查您的 GNU grep 版本使用命令 ’ grep -V ’ 。

Damn Vulnerable Web Application (DVWA)

DVWA 就是一套 Web 应用程序漏洞演示平台。我们这里使用 VirtualBox 运行 DVWA 的 LiveCD 。(小编:关于 dvwa 的下载、安装配置网上有很多,这里不再重述)

配置好之后,就是这个样子。

现在我们开始 grepping 。首先 ssh 连接到存放 php 代码的服务器上。用户名是 dvwa ,密码 password 。

我们跳转到网站的根目录下‘/opt/lampp/htdocs’

Grepping  跨站脚本漏洞

这里引用 OWASP 关于跨站脚本漏洞的说明。”当应用程序收到含有不可信的数据,在没有进行适当的验证和转义的情况下,就将它发送 给一个网页浏览器,这就会产生跨站脚本攻击(简称 XSS )。 XSS 允许攻击者在受害者的浏览 器上执行脚本,从而劫持用户会话、危害网站、或者将用户转向至恶意网站。

(来源: https://www.owasp.org/images/5/51/OWASP_Top_10_2013-Chinese-V1.2.pdf )

为了识别代码中的 xss 漏洞,我们需要确定行代码库中接收没有验证或正确编码用户提供的输入并输出的代码位置。 PHP 用户提供的输入主要是 $_GET , $_ POST , $ _COOKIE , $ _REQUEST 。但是用户也可以用 $ _FILES , $ _ SERVER 等输入参数。

我们首先使用带有正则表达式的 grep 查找 $_GET :

grep -i -r “\$_GET” *

选项 -i 表示忽略大小写,选项 -r 表示递归查找子目录。正则表达式 “\$_GET” 用来匹配 $_GET ,其中反斜杠 \ 用来转义 $ ,因为 $ 号在正则表达式中有特殊含义。我们使用通配符 * 告诉 grep 在任何文件中进行搜索。

正如你所见我们从简单的grep命令找到了许多结果,让我们尝试更具体的操作缩小潜在的可能性。在PHP中,通常使用echo进行输出。我们来搜索直接回显用户输入的代码有哪些。命令:grep -i -r “\$_GET” * | grep “echo”

这样会在第一次搜索的结果中再次进行搜索。

但是却没有找到任何代码,我们来分析下原始的结果看看是什么原因导致的。

下面这一代码好像可以输出。

通过$_GET获得的值赋予到$html中。我们需要找到这个变量被定义的地方以及被使用的地方。cat vulnerabilities/xss_r/source/low.php

通过阅读low.php代码,我们可以更清楚的了解它是做什么的。我们可以看到先对变量进行了检查,不为空或null时进入下一步。用户的输入应该被过滤或被编码,以防止xss漏洞的产生。我们目前假设$html变量会直接输出到浏览器上,但是如果$html被过滤了和编码了那么xss漏洞就不存在了。

现在我们需要进一步调查$html的输出位置。low.php的文件在vulnerabilities/xss_r/source。我们看看这个目录下还有什么文件。

命令:

ls vulnerabilities/xss_r/source

我们可以看到这个目录下vulnerabilities/xss_r/source/有三个文件,high.php,medium.php,low.php。让我们分析下这些文件,找出与输出$html有关的线索。先看下medium.php

命令:

cat vulnerabilities/xss_r/source/medium.php

medium.php 文件的内容和 low.php 里面的几乎一样,但 medium.php 会对 $_GET['name'] 过滤掉 <script> 。这里可能存在 xss 漏洞,因为直接将 $html 输出到浏览器上。 </script>

我们仍要继续查找输出 $html 的代码的位置。看下父目录有什么文件。

命令:

ls vulnerabilities/xss_r/

index.php似乎是个挺有趣的文件,看下其中的内容。

bingo !通过阅读代码确认了 $html 的存在。使用如下命令阅读代码时可以显示行号:

cat -b vulnerabilities/xss_r/index.php

在47行找到了$html变量。

在low.php中通过$_GET['name']传入变量,再通过index.php中的$html输出变量,这个过程中没有经过任何的编码或过滤。我们可以100%确定这是一个xss漏洞,是时候利用它了。

打开dvwa的界面,用户名admin,密码password登陆进去。

点击左侧的“DVWA Security”,将“vulnerability level of DVWA”切换到”low”,接着点击submit按钮提交更改。

注意:我们刚才是对low.php文件进行grep。DVWA中的三个不同级别的安全决定了每个漏洞的可利用性。降低DVWA的安全级别可以使web应用变得脆弱。

安全级别调低之后,我们点击“XSS reflected”切换到xss的测试页面。

我们使用标签检验输入或输出未经过滤和编码。在文本框中输入“I am vulnerable!”。

我们看到了标签未经过滤直接输出到浏览器。我们可以确认有个HTML注入,但xss呢?

现在提交“<script>document.write(document.cookie);</script>”

我们成功的执行了指定的Javascript代码,Ladies and gent,我们发现了个xss漏洞。

Grep命令注入

对于命令注入我引用了OWASP里面的说明:”对应用程序注入并执行攻击者指定的语句“。(更多请详见: https://www.owasp.org/index.php/Command_Injection)

PHP有不同的函数可以执行底层的操作系统命令。如果未对用户的输入做任何处理,我们可以注入我们想要执行的命令。使用如下命令搜索exec()函数:grep -i -r “exec(” *

grep命令似乎给了我们很多结果,然而这并没有什么卵用。我们得完善下grep的命令。看搜索结果,很大部分是svn文件,还有个看似是IDS的目录”external“。

这两个目录输出了太多不想要的结果。

执行如下命令:

grep -i -r –exclude-dir={.svn,external} “exec(” *

这结果便是极好的。我们通过exclude-dir来排除.svn和external两个目录后,找到了在同个目录下的代码(类似XSS的搜索结果)。顺带发现一个事实:

$target没有做任何处理就带入函数中。

我们查看下vulnerabilities/exec/source/low.php文件。cat -b vulnerabilities/exec/source/low.php

从源代码中可以了解到,$target在第5行被赋值。在第10行和15行中被带入shell_exec中执行。用户的输入直接被带入执行操作系统命令。真糟!

要验证是否能利用,打开dvwa切换到”Command Execution“。你能成功地在操作系统上执行命令来确定所使用的MySQL版本? 试一试!

结论

读完这篇文章,并在DVWA的帮助下,我希望您可以更好的保护Web应用程序。

我们仅仅触及到的是Grep力量的表面。Grep还有很多参数可以有效的帮助你。 http://www.ethicalhack3r.co.uk/greping-for-bugs-in-php/

我们可以使用开源的Windows工具来检查代码。 http://sourceforge.net/projects/agnitiotool/

和你们所熟知的php静态代码审计工具RIPS( http://sourceforge.net/projects/rips-scanner/ )

*参考来源: resources.infosecinstitute ,FB小编东二门陈冠希编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

声明
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
PHP类型提示如何起作用,包括标量类型,返回类型,联合类型和无效类型?PHP类型提示如何起作用,包括标量类型,返回类型,联合类型和无效类型?Apr 17, 2025 am 12:25 AM

PHP类型提示提升代码质量和可读性。1)标量类型提示:自PHP7.0起,允许在函数参数中指定基本数据类型,如int、float等。2)返回类型提示:确保函数返回值类型的一致性。3)联合类型提示:自PHP8.0起,允许在函数参数或返回值中指定多个类型。4)可空类型提示:允许包含null值,处理可能返回空值的函数。

PHP如何处理对象克隆(克隆关键字)和__clone魔法方法?PHP如何处理对象克隆(克隆关键字)和__clone魔法方法?Apr 17, 2025 am 12:24 AM

PHP中使用clone关键字创建对象副本,并通过\_\_clone魔法方法定制克隆行为。1.使用clone关键字进行浅拷贝,克隆对象的属性但不克隆对象属性内的对象。2.通过\_\_clone方法可以深拷贝嵌套对象,避免浅拷贝问题。3.注意避免克隆中的循环引用和性能问题,优化克隆操作以提高效率。

PHP与Python:用例和应用程序PHP与Python:用例和应用程序Apr 17, 2025 am 12:23 AM

PHP适用于Web开发和内容管理系统,Python适合数据科学、机器学习和自动化脚本。1.PHP在构建快速、可扩展的网站和应用程序方面表现出色,常用于WordPress等CMS。2.Python在数据科学和机器学习领域表现卓越,拥有丰富的库如NumPy和TensorFlow。

描述不同的HTTP缓存标头(例如,Cache-Control,ETAG,最后修饰)。描述不同的HTTP缓存标头(例如,Cache-Control,ETAG,最后修饰)。Apr 17, 2025 am 12:22 AM

HTTP缓存头的关键玩家包括Cache-Control、ETag和Last-Modified。1.Cache-Control用于控制缓存策略,示例:Cache-Control:max-age=3600,public。2.ETag通过唯一标识符验证资源变化,示例:ETag:"686897696a7c876b7e"。3.Last-Modified指示资源最后修改时间,示例:Last-Modified:Wed,21Oct201507:28:00GMT。

说明PHP中的安全密码散列(例如,password_hash,password_verify)。为什么不使用MD5或SHA1?说明PHP中的安全密码散列(例如,password_hash,password_verify)。为什么不使用MD5或SHA1?Apr 17, 2025 am 12:06 AM

在PHP中,应使用password_hash和password_verify函数实现安全的密码哈希处理,不应使用MD5或SHA1。1)password_hash生成包含盐值的哈希,增强安全性。2)password_verify验证密码,通过比较哈希值确保安全。3)MD5和SHA1易受攻击且缺乏盐值,不适合现代密码安全。

PHP:服务器端脚本语言的简介PHP:服务器端脚本语言的简介Apr 16, 2025 am 12:18 AM

PHP是一种服务器端脚本语言,用于动态网页开发和服务器端应用程序。1.PHP是一种解释型语言,无需编译,适合快速开发。2.PHP代码嵌入HTML中,易于网页开发。3.PHP处理服务器端逻辑,生成HTML输出,支持用户交互和数据处理。4.PHP可与数据库交互,处理表单提交,执行服务器端任务。

PHP和网络:探索其长期影响PHP和网络:探索其长期影响Apr 16, 2025 am 12:17 AM

PHP在过去几十年中塑造了网络,并将继续在Web开发中扮演重要角色。1)PHP起源于1994年,因其易用性和与MySQL的无缝集成成为开发者首选。2)其核心功能包括生成动态内容和与数据库的集成,使得网站能够实时更新和个性化展示。3)PHP的广泛应用和生态系统推动了其长期影响,但也面临版本更新和安全性挑战。4)近年来的性能改进,如PHP7的发布,使其能与现代语言竞争。5)未来,PHP需应对容器化、微服务等新挑战,但其灵活性和活跃社区使其具备适应能力。

为什么要使用PHP?解释的优点和好处为什么要使用PHP?解释的优点和好处Apr 16, 2025 am 12:16 AM

PHP的核心优势包括易于学习、强大的web开发支持、丰富的库和框架、高性能和可扩展性、跨平台兼容性以及成本效益高。1)易于学习和使用,适合初学者;2)与web服务器集成好,支持多种数据库;3)拥有如Laravel等强大框架;4)通过优化可实现高性能;5)支持多种操作系统;6)开源,降低开发成本。

See all articles

热AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智能驱动的应用程序,用于创建逼真的裸体照片

AI Clothes Remover

AI Clothes Remover

用于从照片中去除衣服的在线人工智能工具。

Undress AI Tool

Undress AI Tool

免费脱衣服图片

Clothoff.io

Clothoff.io

AI脱衣机

AI Hentai Generator

AI Hentai Generator

免费生成ai无尽的。

热门文章

R.E.P.O.能量晶体解释及其做什么(黄色晶体)
1 个月前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.最佳图形设置
1 个月前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.如果您听不到任何人,如何修复音频
1 个月前By尊渡假赌尊渡假赌尊渡假赌
R.E.P.O.聊天命令以及如何使用它们
1 个月前By尊渡假赌尊渡假赌尊渡假赌

热工具

记事本++7.3.1

记事本++7.3.1

好用且免费的代码编辑器

Atom编辑器mac版下载

Atom编辑器mac版下载

最流行的的开源编辑器

适用于 Eclipse 的 SAP NetWeaver 服务器适配器

适用于 Eclipse 的 SAP NetWeaver 服务器适配器

将Eclipse与SAP NetWeaver应用服务器集成。

SecLists

SecLists

SecLists是最终安全测试人员的伙伴。它是一个包含各种类型列表的集合,这些列表在安全评估过程中经常使用,都在一个地方。SecLists通过方便地提供安全测试人员可能需要的所有列表,帮助提高安全测试的效率和生产力。列表类型包括用户名、密码、URL、模糊测试有效载荷、敏感数据模式、Web shell等等。测试人员只需将此存储库拉到新的测试机上,他就可以访问到所需的每种类型的列表。

VSCode Windows 64位 下载

VSCode Windows 64位 下载

微软推出的免费、功能强大的一款IDE编辑器