第六章 文件与命令-php安全基础
本章主要讨论伴随着文件与shell命令的使用所产生的风险。PHP有大量的文件系统函数,与直接执行shell命令只有少量的区别。在本章中,我会着重强调开发者在使用这些功能时常犯的错误。
总的来说,伴随这些功能所产生的风险类似于很多本书已提及的风险——使用被污染数据具有灾难性的副作用。尽管漏洞是不同的,但是用来对付它们的方法都是你已学过的方法。
6.1. 文件系统跨越
无论你用什么方法使用文件,你都要在某个地方指定文件名。在很多情况下,文件名会作为fopen()函数的一个参数,同时其它函数会调用它返回的句柄:
|
1 2 3 |
<?php $handle = fopen('/path/to/myfile.txt', 'r'); ?> |
当你把被污染数据作为文件名的一部分时,漏洞就产生了:
|
1 2 3 |
<?php $handle = fopen("/path/to/{$_GET['filename']}.txt", 'r'); ?> |
由于在本例中路径和文件名的前后两部分无法由攻击者所操纵,攻击的可能性受到了限制。可是,需要紧记的是有些攻击会使用NULL(在URL中表示为%00)来使字符串终止,这样就能绕过任何文件扩展名的限制。在这种情况下,最危险的攻击手段是通过使用多个../来方问上级目录,以达到文件系统跨越的目的。例如,想像一下filename的值被指定如下:
http://example.org/file.php?file … nother/path/to/file
与许多攻击的情况相同,在构造一个字串时如果使用了被污染数据,就会给攻击者以机会来更改这个字串,这样就会造成你的应用以你不希望方式运行。如果你养成了只使用已过滤数据来建立动态字串的习惯,就可以防止很多类型包括很多你所不熟悉的漏洞的出现。
由于fopen()所调用的文件名前导的静态部分是/path/to,所以上面的攻击中向上跨越目录的次数比所需的更多。因为攻击者在发起攻击前无法察看源码,所以典型的策略是过多次地重复../字串。../字串使用太多次并不会破坏上面的攻击效果,所以攻击者没有必要猜测目录的深度。
在上面的攻击中使fopen()调用以你不希望方式运行,它简化后等价于:
|
1 2 3 |
<?php $handle = fopen('/another/path/to/file.txt', 'r'); ?> |
在意识到这个问题或遭遇攻击后,很多开发者都会犯试图纠正潜在的恶意数据的错误,有时根本不会先对数据进行检查。正如第一章所述,最好的方法把过滤看成检查过程,同时迫使使用者遵从你制定的规则。例如,如果合法的文件名只包含字母,下面的代码能加强这个限制:
|
1 2 3 4 5 6 7 8 9 10 11 12 |
<?php $clean = array(); if (ctype_alpha($_GET['filename'])) { $clean['filename'] = $_GET['filename']; } else { /* ... */ } $handle = fopen("/path/to/{$clean['filename']}.txt", 'r'); ?> |
并没有必要对filename值进行转义,这是因为这些数据中只用在PHP函数中而不会传送到远程系统。
basename( )函数在检查是否有不必要的路径时非常有用:
|
1 2 3 4 5 6 7 8 9 10 11 12 |
<?php $clean = array(); if (basename($_GET['filename']) == $_GET['filename']) { $clean['filename'] = $_GET['filename']; } else { /* ... */ } $handle = fopen("/path/to/{$clean['filename']}.txt", 'r'); ?> |
这个流程比只允许文件名是字母的安全性要差了一些,但你不太可能要求那样严格。比较好的深度防范流程是综合上面的两种方法,特别是你在用正则表达式检查代码合法性时(而不是用函数ctype_alpha( ))。
当文件名的整个尾部是由未过滤数据组成时,一个高危漏洞就产生了:
|
1 2 3 |
<?php $handle = fopen("/path/to/{$_GET['filename']}", 'r'); ?> |
给予攻击者更多的灵活性意味着更多的漏洞。在这个例子中,攻击者能操纵filename参数指向文件系统中的任何文件,而不管路径和文件扩展名是什么,这是因为文件扩展名是$_GET[‘filename’]的一部分。一旦WEB服务器具有能读取该文件的权限,处理就会转向这个攻击者所指定的文件。
如果路径的前导部分使用了被污染数据的话,这一类的漏洞会变得甚至更加庞大。这也是下一节的主题。
6.2. 远程文件风险
PHP有一个配置选项叫allow_url_fopen,该选项默认是有效的。它允许你指向许多类型的资源,并像本地文件一样处理。例如,通过读取URL你可以取得某一个页面的内容(HTML):
|
1 2 3 |
<?php $contents = file_get_contents('http://example.org/'); ?> |
正如第五章所讨论的那样,当被污染数据用于include和require的文件指向时,会产生严重漏洞。实际上,我认为这种漏洞是PHP应用中最危险的漏洞之一,这是因为它允许攻击者执行任意代码。
尽管严重性在级别上要差一点,但在一个标准文件系统函数中使用了被污染数据的话,会有类似的漏洞产生:
|
1 2 3 |
<?php $contents = file_get_contents($_GET['filename']); ?> |
该例使用户能操纵file_get_contents( )的行为,以使它获取远程资源的内容。考虑一下类似下面的请求:
http://example.org/file.php?file … mple.org%2Fxss.html
这就导致了$content的值被污染的情形,由于这个值是通过间接方式得到的,因此很可能会忽视这个事实。这也是深度防范原则会视文件系统为远程的数据源,同时会视$content的值为输入,这样你的过滤机制会潜在的起到扭转乾坤的作用。
由于$content值是被污染 的,它可能导致多种安全漏洞,包括跨站脚本漏洞和SQL注入漏洞。例如,下面是跨站脚本漏洞的示例:
|
1 2 3 4 |
<?php $contents = file_get_contents($_GET['filename']); echo $contents; ?> |
解决方案是永远不要用被污染的数据去指向一个文件名。要坚持过滤输入,同时确信在数据指向一个文件名之前被过滤即可:
|
1 2 3 4 5 |
<?php $clean = array(); /* Filter Input ($_GET['filename']) */ $contents = file_get_contents($clean['filename']); ?> |
尽管无法保证$content中的数据完全没有问题,但这还是给出了一个合理的保证,即你读取的文件正是你想要读取的文件,而不是由攻击者指定的。为加强这个流程的安全性,你同样需要把$content看成是输入,并在使用前对它进行过滤。
|
1 2 3 4 5 6 7 8 9 |
<?php $clean = array(); $html = array(); /* Filter Input ($_GET['filename']) */ $contents = file_get_contents($clean['filename']); /* Filter Input ($contents) */ $html['contents'] = htmlentities($clean['contents'], ENT_QUOTES, 'UTF-8'); echo $html['contents']; ?> |
上面的流程提供了防范多种攻击的强有力的方法,同时在实际编程中推荐使用。
6.3. 命令注入
使用系统命令是一项危险的操作,尤其在你试图使用远程数据来构造要执行的命令时更是如此。如果使用了被污染数据,命令注入漏洞就产生了。
Exec()是用于执行shell命令的函数。它返回执行并返回命令输出的最后一行,但你可以指定一个数组作为第二个参数,这样输出的每一行都会作为一个元素存入数组。使用方式如下:
|
1 2 3 4 5 |
<?php $last = exec('ls', $output, $return); print_r($output); echo "Return [$return]"; ?> |
假设ls命令在shell中手工运行时会产生如下输出:
$ ls
total 0
-rw-rw-r– 1 chris chris 0 May 21 12:34 php-security
-rw-rw-r– 1 chris chris 0 May 21 12:34 chris-shiflett
当通过上例的方法在exec()中运行时,输出结果如下:
Array
(
[0] => total 0
[1] => -rw-rw-r– 1 chris chris 0 May 21 12:34 php-security
[2] => -rw-rw-r– 1 chris chris 0 May 21 12:34 chris-shiflett
)
Return [0]
这种运行shell命令的方法方便而有用,但这种方便为你带来了重大的风险。如果使用了被污染数据构造命令串的话,攻击者就能执行任意的命令。
我建议你有可能的话,要避免使用shell命令,如果实在要用的话,就要确保对构造命令串的数据进行过滤,同时必须要对输出进行转义:
|
1 2 3 4 5 6 7 8 |
<?php $clean = array(); $shell = array(); /* Filter Input ($command, $argument) */ $shell['command'] = escapeshellcmd($clean['command']); $shell['argument'] = escapeshellarg($clean['argument']); $last = exec("{$shell['command']} {$shell['argument']}", $output, $return); ?> |
尽管有多种方法可以执行shell命令,但必须要坚持一点,在构造被运行的字符串时只允许使用已过滤和转义数据。其他需要注意的同类函数有passthru( ), popen( ), shell_exec( ),以及system( )。我再次重申,如果有可能的话,建议避免所有shell命令的使用。