PHP代码审核的详细介绍

前端之家收集整理的这篇文章主要介绍了PHP代码审核的详细介绍前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

代码审核,是对应用程序源代码进行系统性检查的工作。它的目的是为了找到并且修复应用程序在开发阶段存在的一些漏洞或者程序逻辑错误,避免程序漏洞被非法利用给企业带来不必要的风险
代码审核不是简单的检查代码,审核代码的原因是确保代码能安全的做到对信息和资源进行足够的保护,所以熟悉整个应用程序的业务流程对于控制潜在的风险是非常重要的。
审核人员可以使用类似下面的问题对开发者进行访谈,来收集应用程序信息。

用户么?

最好的方式是做一个 checklist,让开发人员填写。Checklist 能比较直观的反映应用程序的信息和开发人员所做的编码安全,它应该涵盖可能存在严重漏洞的模块,例如:数据验证、身份认证、会话管理、授权、加密、错误处理、日志、安全配置、网络架构。

输出显示

大多数漏洞的形成原因主要都是未对输入数据进行安全验证或对输出数据未经过安全处理,比较严格的数据验证方式为:对数据进行精确匹配
接受白名单的数据
拒绝黑名单的数据
对匹配黑名单的数据进行编码

PHP 中可由用户输入的变量列表如下:

$_SERVER
$_GET
$_POST
$_COOKIE
$_REQUEST
$_FILES
$_ENV
$_HTTP_COOKIE_VARS
$_HTTP_ENV_VARS
$_HTTP_GET_VARS
$_HTTP_POST_FILES
$_HTTP_POST_VARS
$_HTTP_SERVER_VARS
我们应该对这些输入变量进行检查

命令注入

安全威胁
命令注入攻击是通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成内容,而这样就可能会导致恶意命令掌控用户的电脑和他们的网络。PHP执行系统命令可以使用以下几个函数:,我们通过在全部程序文件搜索这些函数,确定函数的参数是否会因为外部提交而改变,检查这些参数是否有经过安全处理。

代码示例

例1:
代码如下:
//ex1.PHP
PHP
$dir = $_GET["dir"];
if (isset($dir))
{
echo "
";
system("ls -al".$dir);
echo "
";
}
?>

我们提交
代码如下:
http:// localhost/ex1.PHP?dir=| cat /etc/passwd

提交以后,命令变成了
代码如下:
system("ls -al | cat /etc/passwd");

方法

2、使用自定义函数函数库来替代外部命令的功能
3、使用escapeshellarg函数来处理命令参数
4、使用safe_mode_exec_dir指定可执行文件的路径
esacpeshellarg函数会将任何引起参数或命令结束的字符转义,单引号“'”,替换成“\'”,双引号“"”,替换成“\"”,分号“;”替换成“\;”, 用safe_mode_exec_dir指定可执行文件的路径,可以把会使用的命令提前放入此路径内。
代码如下:
safe_mode = On
safe_mode_exec_di r= /usr/local/PHP/bin/

跨站脚本威胁(Cross Site Scripting)

Cross Site Script(XSS),跨站脚本威胁。攻击者利用应用程序的动态展示数据功能,在 html 页面里嵌入恶意代码。当用户浏览该页之时,这些嵌入在 html 中的恶意代码会被
执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。输出函数经常使用:echo、print、printf、vprintf、<%=$test%>

跨站脚本攻击有以下三种攻击形式:

(1) 反射型跨站脚本攻击
攻击者会通过社会工程学手段,发送一个 URL 连接给用户打开,在用户打开页面的同时,浏览器会执行页面中嵌入的恶意脚本。
(2) 存储型跨站脚本攻击
攻击者利用 web 应用程序提供的录入或修改数据功能,将数据存储到服务器或用户cookie 中,当其他用户浏览展示该数据的页面时,浏览器会执行页面中嵌入的恶意脚本。所有浏览者都会受到攻击。
(3) DOM 跨站攻击由于 html 页面中,定义了一段 JS,根据用户的输入,显示一段 html 代码,攻击者可以在输入时,插入一段恶意脚本,最终展示时,会执行恶意脚本。DOM 跨站和以上两个跨站攻击的差别是,DOM 跨站是纯页面脚本的输出,只有规范使用 JAVASCRIPT,才可以防御。

(1) 盗取用户 cookie,伪造用户身份登录
(2) 让浏览者被迫执行某页面操作,以用户身份向服务器发起请求,达到攻击目的。
(3) 结合浏览器漏洞,下载病毒木马到浏览者的计算机上执行。
(4) 衍生 URL 跳转漏洞。
(5) 让官方网站出现钓鱼页面
(6) 蠕虫攻击

代码示例

直接在 html 页面展示“用户可控数据”,将直接导致跨站脚本威胁。
代码如下:
echo “$newsname”;
echo “$gifname”;
echo “”;
echo “”. htmlentities($context).””;
?>

这几种显示方式,都可能导致用户浏览器把“用户可控数据”当成 JS/VBS 脚本执行,或页面元素被“用户可控数据”插入的页面 HTML 代码控制,从而造成攻击。
解决方
显示“用户可控数据”前,应该进行 htmlescape 转义。
代码如下:
htmlspecialchars($outputString,ENT_QUOTES);

进行 html 转义应该按照以下列表进行转义:
代码如下:
& --> &
< --> <
> --> >
" --> "
' --> '

输出的“用户可控数据”,需要做 javascript escape 转义。
需要转义的字符包括:
代码如下:
/ --> \/
' --> \'
" --> \"
\ --> \\

输出到富文本中的“用户可控数据”,做富文本安全过滤(允许用户输出 HTML 的情况),防止富文本编辑器中存在脚本性的 script 代码

sql 注入(sql Injection)

安全威胁

当应用程序将用户输入的内容,拼接到 sql 语句中,一起提交给数据库执行时,就会产生 sql 注入威胁。由于用户的输入,也是 sql 语句的一部分,所以攻击者可以利用这部分可以控制的内容,注入自己定义的语句,改变 sql 语句执行逻辑,让数据库执行任意自己需要的指令。通过控制部分 sql 语句,攻击者可以查询数据库中任何自己需要的数据,利用数据库的一些特性,可以直接获取数据库服务器的系统权限。本来 sql 注入攻击需要攻击者对 sql 语句非常了解,所以对攻击者的技术有一定要求。但是几年前,已经出现了大量 sql 注入利用工具,可以让任何攻击者,只要点几下鼠标,就能达到攻击效果,这使得 sql 注入的威胁,极大增加

sql注入攻击的一般步骤:

sql注入漏洞的站点,寻找注入点
2、攻击者构造注入语句,注入语句和程序中的sql语句结合生成新的sql语句
3、新的sql语句被提交到数据库中执行 处理
4、数据库执行了新的sql语句,引发sql注入攻击

代码示例
对于输入检查不充分,导致 sql 语句将用户提交的非法数据当作语句的一部分来执行。
示例:

代码如下:
$id=$_GET['id'];
$name=$_GET['name'];
$sql="select * from news where `id`=$id and `username`='$name' ";
?>

解决方

PHP 配置选项在 PHP.ini 文件中指定。下列配置方式能够加强PHP 的安全性,使应用程序避免受到 sql injection 的攻击。
1) safe_mode=onPHP,将通过文件函数或其目录检查当前脚本的拥有者是否和将被操作的文件的拥有者相匹配,当前脚本拥有者和文件操作拥有者不匹配则为违法操作
2) magic_quotes_gpc=on / off,如果该选项被激活,那么请求参数中包含的任何单引号、双引号、反斜线和空字符都会用一个反斜线自动转义。
3) magic_quotes_sybase=on/off,如果改选项被禁用,那么 PHP 就会用一个单引号转义所有的单引号。
验证数字型的变量

PHP6 已经删除 magic quotes 选项

sql 语句,对所有传入 sql 语句中的变量,做绑定。这样,用户拼接进来的变量,无论内容是什么,都会被当做替代符号“?”所替代的值,数据库也不会
把恶意用户拼接进来的数据,当做部分 sql 语句去解析。示例:

代码如下:
$stmt = MysqLi_stmt_init($link);
if (MysqLi_stmt_prepare($stmt,'SELECT District FROM City WHERE Name=?'))
{
/* bind parameters for markers */
MysqLi_stmt_bind_param($stmt,"s",$city);
/* execute query */
MysqLi_stmt_execute($stmt);
/* bind result variables */
MysqLi_stmt_bind_result($stmt,$district);
/* fetch value */
MysqLi_stmt_fetch($stmt);
MysqLi_stmt_close($stmt);
}
/* close connection */
MysqLi_close($link);

文件上传威胁(File Upload)

PHP 文件上传漏洞主要在于验证文件类型的时候没处理好文件变量所带来的攻击,导致程序判断逻辑被绕过,攻击者上传脚本文件被服务器解析,从而获取 SHELL 或者上传
文件被任意拷贝,甚至上传脚本木马到 web 服务器上,直接控制 web 服务器。

代码示例

处理用户上传文件请求的代码,这段代码没有过滤文件扩展名。
代码如下:

处理用户上传文件,要做以下检查:
(1) 检测文件后缀名是否符合白名单规范。
(2) 将文件按照随机文件名的形式,保存在服务器上。
(3) 上传目录脚本文件不可执行
(4) 注意%00 截断
(5) 对于 jpg 文件,需要读取文件内容,然后生成一个新的 jpg 文件进行保存
Cross-Site Request Forgery (CSRF)

Cross-Site Request Forgery(CSRF),伪造跨站请求。攻击者在用户浏览网页时,利用页面元素(例如 img 的 src),强迫受害者的浏览器向Web 应用程序发送一个改变用户信息的请求。由于发生 CSRF 攻击后,攻击者是强迫用户向服务器发送请求,所以会造成用户信息被迫修改,更严重者引发蠕虫攻击。
CSRF 攻击可以从站外和站内发起。从站内发起 CSRF 攻击,需要利用网站本身的业务,比如“自定义头像”功能,恶意用户指定自己的头像 URL 是一个修改用户信息的链接,当其他已登录用户浏览恶意用户头像时,会自动向这个链接发送修改信息请求。从站外发送请求,则需要恶意用户在自己的服务器上,放一个自动提交修改个人信息的htm 页面,并把页面地址发给受害者用户,受害者用户打开时,会发起一个请求。如果恶意用户能够知道网站管理后台某项功能的 URL,就可以直接攻击管理员,强迫管理员执行恶意用户定义的操作。

代码示例

一个没有 CSRF 安全防御的代码如下:
代码如下:
$user=checksql($user);
$pass=checksql($pass);
$sql=“update UserTB set password=$user Where user=$pass”;
MysqLi_stmt_execute($sql);
?>

代码中接收用户提交的参数“user,pass”,之后修改了该用户的数据,一旦接收到一个用户发来的请求,就执行修改操作。
提交表单代码:
代码如下:


用户点提交时,就会触发修改操作。
攻击实例
如果“代码示例”中的代码,是 xxx.com 上的一个 web 应用,那么恶意用户为了攻击 xxx.com 的登录用户,可以构造 2 个 HTML 页面
页面 a.htm 中,iframe 一下 b.htm,把宽和高都设为 0。
代码如下: