phpBB BBcode处理的漏洞_PHP教程-php教程-PHP中文网

首页

后端开发

php教程

phpBB BBcode处理的漏洞_PHP教程

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jul 21, 2016 pm 04:09 PM

bbcodephpweb发布处理拒绝接口日期漏洞的类别远程

发布日期：2002-04-3
漏洞类别：PHP，远程WEB接口，拒绝服务

bugtraq ID 4432、4434

存在问题的版本：

    phpBB 1.44，更低的版本及 phpBB 2.0 未测试。

描述：

    phpBB是一个被广泛应用的基于PHP的论坛。发现其BBcode中对于“源代码”类的引用处
理存在漏洞，通过发送特殊格式的转义字符串可导致数据库的损坏以及服务器的 CPU、内存
资源大量消耗。

详细：

    phpBB在对“源代码”类的引用处理不当，主要是为了要支持镶套的标记
而造成的。有问题的代码是functions.php中的bbencode_code函数。

    当我们提交一个这样的贴子：

实际向数据库中存储的数据是这样：

[1code]
\0\0\0\0\0\0\0
[/code1][1code]
\0\0\0\0\0\0\0
[/code1][1code]
\0\0\0\0\0\0\0
[/code1][1code]
\0\0\0\0\0\0\0
[/code1][1code]
\0\0\0\0\0\0\0
[/code1][1code]
\0\0\0\0\0\0\0
[/code1][1code]
\0\0\0\0\0\0\0
[/code1]

即实际系统要负担的数据量是输入的“\0”的数量的平方，如果发送 1 MByte的数据，系统
实际处理的数据将接近 1 TByte。

这是我们在实验机器上发送一个包含''*800的帖子时的资源占用情况：

PID  USER      PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
8643 nobody    13   0   212M  81M 13604 D     8.0 65.7   0:07 httpd

提交贴子后会提示出错：

Could not enter post text!

但实际上贴子的标题和提交者这两个数据已存到数据库中，但内容和其他一些数据没有，所
以打开的时候会出现错误页面。而且这样的帖子无法用正常的方法删掉，只能用直接连接到
数据库来删除。以下是提交不同数据量的结果：

''* =''* 584    正常贴上，可以编辑，但不能删除
''* 585    提示 Could not enter post text! 但贴子也没有
''* 586    正常贴上，可以删除
''* 587    提示 Could not enter post text! 但贴子也没有
''* 588    正常贴上，可以删除
''* 589    提示 Could not enter post text! 但贴子也没有
''* >=590  提示 Could not enter post text! 出现删不掉的帖子

如果发送镶套的标记则占用资源更多，我们在实验机器上发送这样的帖子：

复制代码代码如下:

[code]\0

\0[/code]

虽然只有49Byte的数据，但资源占用非常可观：
  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
25741 nobody    14   0 11828 9996   416 R    99.9  7.8   2:38 httpd

几秒钟后产生了大量的数据，内存大量消耗：
  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
    3 root      10   0     0    0     0 SW    2.5  0.0   4:13 kswapd
25742 nobody    17   0  265M  90M 52104 R    25.1 73.0   1:45 httpd

这样的镶套帖子是不会存储到数据库中的，但随着镶套的增加资源的占用会按照几何级数递
增。如果一次发送更多数据，或者不断的发送，可以导致系统资源大量占用，最终拒绝服务。

实验环境：linux 2.4.10   Apache/1.3.23   PHP 4.12

解决方案：

1、暂时禁用BBcode。
2、alert7给出了functions.php的如下修改方法，暂时停用对镶套标记的支持：

把773行开始的bbencode_code函数改为：

function bbencode_code($message, $is_html_disabled)
{
$message = preg_replace("/\[code\](.*?)\[\/code\]/si", "

Code:

\\1

", $message);
return $message;

} // bbencode_code()

    对于无法正常删除的帖子，需要手工连接数据库删除。假设有这样一个帖子：
http://host/forums/viewtopic.php?topic=1162&forum=1&0
可以这样：
$ mysql -uuser -ppasswd
mysql> use databasename;
mysql> select *  from topics where topic_id = 1162; //得到post_id
mysql> delete from posts where post_id = 6280;
mysql> delete from posts_text where post_id = 6280;
mysql> delete  from topics where topic_id = 1162;

关于我们：

    WSS (Whitecell Security Systems)，一个非营利性民间技术组织，致力于各种系统安
全技术的研究。坚持传统的hacker精神，追求技术的精纯。

WSS 主页：http://www.whitecell.org/
WSS 论坛：http://www.whitecell.org/forum/

补充：后来的测试发现相当多的BBS都有类似问题，包括基于php、cgi、asp的，希望大家自己对自己的论坛进行测试，如有问题，参考本文酌情解决。

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

您如何防止与会议有关的跨站点脚本（XSS）攻击？Apr 23, 2025 am 12:16 AM

要保护应用免受与会话相关的XSS攻击，需采取以下措施：1.设置HttpOnly和Secure标志保护会话cookie。2.对所有用户输入进行输出编码。3.实施内容安全策略(CSP)限制脚本来源。通过这些策略，可以有效防护会话相关的XSS攻击，确保用户数据安全。

您如何优化PHP会话性能？Apr 23, 2025 am 12:13 AM

优化PHP会话性能的方法包括：1.延迟会话启动，2.使用数据库存储会话，3.压缩会话数据，4.管理会话生命周期，5.实现会话共享。这些策略能显着提升应用在高并发环境下的效率。

什么是session.gc_maxlifetime配置设置？Apr 23, 2025 am 12:10 AM

thesession.gc_maxlifetimesettinginphpdeterminesthelifespanofsessiondata，setInSeconds.1）它'sconfiguredinphp.iniorviaini_set（）.2）abalanceIsiseededeedeedeedeedeedeedto to to avoidperformance andununununununexpectedLogOgouts.3）

您如何在PHP中配置会话名？Apr 23, 2025 am 12:08 AM

在PHP中，可以使用session_name()函数配置会话名称。具体步骤如下：1.使用session_name()函数设置会话名称，例如session_name("my_session")。2.在设置会话名称后，调用session_start()启动会话。配置会话名称可以避免多应用间的会话数据冲突，并增强安全性，但需注意会话名称的唯一性、安全性、长度和设置时机。

您应该多久再生一次会话ID？Apr 23, 2025 am 12:03 AM

会话ID应在登录时、敏感操作前和每30分钟定期重新生成。1.登录时重新生成会话ID可防会话固定攻击。2.敏感操作前重新生成提高安全性。3.定期重新生成降低长期利用风险，但需权衡用户体验。

如何在PHP中设置会话cookie参数？Apr 22, 2025 pm 05:33 PM

在PHP中设置会话cookie参数可以通过session_set_cookie_params()函数实现。1)使用该函数设置参数，如过期时间、路径、域名、安全标志等；2)调用session_start()使参数生效；3)根据需求动态调整参数，如用户登录状态；4)注意设置secure和httponly标志以提升安全性。