亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

PHP代碼審計要點是什么

發布時間:2021-07-07 16:34:20 來源:億速云 閱讀:221 作者:chen 欄目:編程語言

本篇內容主要講解“PHP代碼審計要點是什么”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“PHP代碼審計要點是什么”吧!

前言

隨著代碼安全的普及,越來越多的開發人員知道了如何防御sqli、xss等與語言無關的漏洞,但是對于和開發語言本身相關的一些漏洞和缺陷卻知之甚少,于是這些點也就是我們在Code audit的時候的重點關注點。本文旨在總結一些在PHP代碼中經常造成問題的點,也是我們在審計的時候的關注重點。(PS:本文也只是簡單的列出問題,至于造成問題的底層原因未做詳細解釋)

本文若有寫錯的地方,還請各位大佬斧正:

1、代碼審計定義

代碼審計 是指對源代碼進行檢查,尋找代碼中的bug,這里主要尋到可導致安全問題的bug。
這是一項需要多方面技能的技術,包括對編程的掌握(能看懂代碼的邏輯)、漏洞形成原理的理解、系統和中間件等的熟悉。

2、代碼審計思路

1)逆向追蹤
檢查敏感函數的參數,然后回溯變量,判斷變量是否可控并且沒有經過嚴格過濾。
2)正向追蹤
先找出哪些文件在接受外部傳輸的函數,然后跟蹤變量傳遞的過程,觀察是否有變量傳入到高危函數里邊,或者傳遞過程中是否有代碼邏輯漏洞。這種正向追蹤的方式,比逆向追蹤挖掘得更全。
3)經驗判斷直接挖掘功能點漏洞
根據自身的經驗判斷該類應用通常在哪些功能中會出現漏洞,直接全篇閱讀該功能代碼。

3、PHP代碼審計需要掌握好以下(其他語言類似)

1)PHP編程語言的特性和基礎
2)Web前端編程基礎
3)漏洞形成原理
4)代碼審計思路
5)不同系統、中間件之間的特性差異。

漏洞實例

TODO: 繼續豐富并增加各個點的實際漏洞事例
file_put_contents、copy、file_get_contents等讀取寫入操作與unlink、file_exists等刪除判斷文件函數之間對于路徑處理的差異導致的刪除繞過

extract()、parse_str() 等變量覆蓋

extract函數從數組導入變量(如$_GET、 $_POST),將數組的鍵名作為變量的值。而parse_str函數則是從類似name=Bill&age=60的格式字符串解析變量.如果在使用第一個函數沒有設置EXTR_SKIP或者EXTR_PREFIX_SAME等處理變量沖突的參數時、第二個函數沒有使用數組接受變量時將會導致變量覆蓋的問題
intval()整數溢出、向下取整和整形判斷的問題

32位系統最大的帶符號范圍為-2147483648 到 2147483647,64位最大的是 9223372036854775807,因此,在32位系統上 intval(‘1000000000000’) 會返回 2147483647此外intval(10.99999)會返回10,intval和int等取整都是’截斷’取整,并不是四舍五入intval函數進去取整時,是直到遇上數字或者正負號才開始進行轉換,之后在遇到非數字或者結束符號(\0)時結束轉換

浮點數精度問題導致的大小比較問題

當小數小于10^-16后,PHP對于小數就大小不分了

var_dump(1.000000000000000 == 1) >> TRUE

var_dump(1.0000000000000001 == 1) >> TRUE
is_numeric()與intval()特性差異

is_numeric函數在判斷是否是數字時會忽略字符串開頭的’ ‘、’\t’、’\n’、’\r’、’\v’、’\f’。而’.’可以出現在任意位置,E、e能出現在參數中間,仍可以被判斷為數字。也就是說is_numeric(“\r\n\t 0.1e2”) >> TRUE

intval()函數會忽略’’ ‘\n’、’\r’、’\t’、’\v’、’\0’ ,也就是說intval(“\r\n\t 12”) >> 12

strcmp()數組比較繞過

int strcmp ( string $ str1 , string $str2 )

參數 str1第一個字符串。str2第二個字符串。如果 str1 小于 str2 返回 < 0;

如果 str1 大于 str2 返回 > 0;如果兩者相等,返回 0。

但是如果傳入的兩個變量是數組的話,函數會報錯返回NULL,如果只是用strcmp()==0來判斷的話就可以繞過

sha1()、md5() 函數傳入數組比較繞過

sha1() MD5()函數默認接收的參數是字符串類型,但是如果如果傳入的參數是數組的話,函數就會報錯返回NULL。類似sha1($_GET[‘name’]) === sha1($_GET[‘password’])的比較就可以繞過
弱類型==比較繞過

這方面問題普及的很多,不作過多的解釋

md5(‘240610708’); // 0e462097431906509019562988736854md5(‘QNKCDZO’); // 0e830400451993494058024219903391md5(‘240610708’) == md5(‘QNKCDZO’)md5(‘aabg7XSs’) == md5(‘aabC9RqS’)sha1(‘aaroZmOk’) == sha1(‘aaK1STfY’)sha1(‘aaO8zKZF’) == sha1(‘aa3OFF9m’)‘0010e2’ == ‘1e3’

‘0x1234Ab’ == ‘1193131‘

‘0xABCdef’ == ‘ 0xABCdef’

當轉換為boolean時,以下只被認為是FALSE:FALSE、0、0.0、“”、“0”、array()、NULL

PHP 7 以前的版本里,如果向八進制數傳遞了一個非法數字(即 8 或 9),則后面其余數字會被忽略。var_dump(0123)=var_dump(01239)=83

PHP 7 以后,會產生 Parse Error。

字符串轉換為數值時,若字符串開頭有數字,則轉為數字并省略后面的非數字字符。若一開頭沒有數字則轉換為0

\$foo = 1 + “bob-1.3e3”; // $foo is integer (1)

\$foo = 1 + “bob3”; // $foo is integer (1)

\$foo = 1 + “10 Small Pigs”; // $foo is integer (11)

‘’ == 0 == false‘123’ == 123

‘abc’ == 0

‘123a’ == 123

‘0x01’ == 1

‘0e123456789’ == ‘0e987654321’

[false] == [0] == [NULL] == [‘’]

NULL == false == 0? true ==1

eregi()匹配繞過

eregi()默認接收字符串參數,如果傳入數組,函數會報錯并返回NULL。同時還可以%00 截斷進行繞過
PHP變量名不能帶有點[.] 和空格,否則在會被轉化為下劃線[_]

parse_str("na.me=admin&pass wd=123",$test);
var_dump($test); 

array(2) {
  ["na_me"]=>  string(5) "admin"
  ["pass_wd"]=>  string(3) "123"

in_arrary()函數默認進行松散比較(進行類型轉換)

in_arrary(“1asd”,arrart(1,2,3,4))    => truein_arrary(“1asd”,arrart(1,2,3,4),TRUE)    => false   \\(需要設置strict參數為true才會進行嚴格比較,進行類型檢測)htmlspecialchars()函數默認只轉義雙引號不轉義單引號,如果都轉義的話需要添加上參數ENT_QUOTES
在php4、php<5.2.1中,變量的key值不受magic_quotes_gpc影響sprintf()格式化漏洞(可以吃掉轉義后的單引號)

printf()和sprintf()函數中可以通過使用%接一個字符來進行padding功能

例如%10s 字符串會默認在左側填充空格至長度為10,還可以 %010s 會使用字符0進行填充,但是如果我們想要使用別的字符進行填充,需要使用 ‘ 單引號進行標識,例如 %’#10s 這個就是使用#進行填充(百分號不僅會吃掉’單引號,還會吃掉\ 斜杠)

同時sprintf()可以使用指定參數位置的寫法

%后面的數字代表第幾個參數,$后代表格式化類型

于是當我們輸入的特殊字符被放到引號中進行轉義時,但是又使用了sprintf函數進行拼接時

例如%1$’%s’ 中的 ‘%被當成使用%進行padding,導致后一個’逃逸了

還有一種情況就是’被轉義成了\’,例如輸入%’ and 1=1#進入,存在SQL過濾,’被轉成了\’

于是sql語句變成了 select * from user where username = ‘%\’ and 1=1#’;

如果這個語句被使用sprintf函數進行了拼接,%后的\被吃掉了,導致了’逃逸

<?php$sql = "select * from user where username = '%\' and 1=1#';";$args = "admin";echo sprintf( $sql, $args ) ;//result: select * from user where username = '' and 1=1#'?>

不過這樣容易遇到 PHP Warning: sprintf(): Too few arguments的報錯

這個時候我們可以使用%1$來吃掉轉移添加的\

<?php$sql = "select * from user where username = '%1$\' and 1=1#' and password='%s';";$args = "admin";echo sprintf( $sql, $args) ;//result: select * from user where username = '' and 1=1#' and password='admin';?>

php中 = 賦值運算的優先級高于and

$c = is_numeric($a) and is_numeric($b) 程序本意是要a、b都為數字才會繼續,但是當$a為數字時,會先賦值給$c,所以可能導致$b繞過檢測
parse_url與libcurl對與url的解析差異可能導致ssrf

當url中有多個@符號時,parse_url中獲取的host是最后一個@符號后面的host,而libcurl則是獲取的第一個@符號之后的。因此當代碼對http://user@eval.com:80@baidu.com 進行解析時,PHP獲取的host是baidu.com是允許訪問的域名,而最后調用libcurl進行請求時則是請求的eval.com域名,可以造成ssrf繞過
此外對于https://evil@baidu.com這樣的域名進行解析時,php獲取的host是evil@baidu.com,但是libcurl獲取的host卻是evil.com

url標準的靈活性導致繞過filter_var與parse_url進行ssrf

filter_var()函數對于http://evil.com;google.com 會返回false也就是認為url格式錯誤,但是對于0://evil.com:80;google.com:80/ 、0://evil.com:80,google.com:80/、0://evil.com:80\google.com:80/卻返回true。
通過file_get_contents獲取網頁內容并返回到客戶端有可能造成xss

到此,相信大家對“PHP代碼審計要點是什么”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

php
AI

绥阳县| 随州市| 卢氏县| 桃园县| 瑞安市| 东山县| 繁峙县| 上杭县| 奎屯市| 浪卡子县| 嵊州市| 镇巴县| 长兴县| 新宁县| 炉霍县| 张家口市| 崇明县| 永修县| 广安市| 基隆市| 张家川| 阿克苏市| 都昌县| 南汇区| 福州市| 商河县| 阿城市| 普洱| 普定县| 开江县| 黑河市| 遵义县| 蓬莱市| 东乌| 冷水江市| 文成县| 日喀则市| 新昌县| 洛阳市| 东乡族自治县| 龙游县|