对于特殊字符的重视

　　对于特殊字符，有句话叫All puts is invalid.外国人文章里这句话很常见的。所有输入都是有害的。你永远不要对用户所输入的东西省心，为了对付这些危害，程序员都在忙着过滤大把大把的字符，唯恐漏了什么。而有些程序员呢？好像从没注意过这些问题，从来都是敞开漏洞大门的。不说废话，还是先看看下面这些东西吧。

　　1.其实程序的漏洞里最关键，最让开发者放心不下的就是带着$符号的美元符号，变量，对于找漏洞的人来说，抓着变量两个字就是一切。就像目录遍历这个bug，很多邮件程序都存在，开发者考虑的很周全，有的甚至加上了网络硬盘这个东西，好是好，就像

　　http://mail.com/file.php?id=1&put=list&tid=1&file=./

　　要是我们把file这个变量换成./../甚至更上层呢？目录就这样被遍历了。

　　2.尖括号"<>"跨站你不会不知道吧，一些搜索栏里，文章，留言，像前段时间phpwind附件那里的跨站等等。当然，对于跨站问题，你要过滤的远远不止尖括号。不怕过滤时漏掉什么，而是怕你想不起要去过滤。

　　3.斜杆和反斜杆：对于/和\的过滤，记得魔力论坛的附件下载处的原代码泄露吗？

　　attachment.php?id=684&u=3096&extension=gif&attach=.\..\..\..\..\..\..\includes\config.php&filename=1.gif

　　对于过滤.. / \的问题，像windows主机不仅要过滤../还要过滤..\,windows主机对\会解析为/,这些细节跟SQL injection比起来，什么才叫深入呢？

　　4.对于反引号(``),反引号在php中很强大，它可以执行系统命令，就像system()这些系统函数一样，如果用户的恶意语句被它所执行的话就会危害服务器，我想除了服务器设置的很好以外，对于它们，你还是老老实实的过滤好吧。

　　5.对于换行符,NULL字符等等，像"\t,\x0B,\n,\r,\0这些，这些都是很有用的，像动网以前的上传漏洞就是因为上传中的NULL(\0)字符引起的，对于这些能随意截断程序流程的字符，你说我们在检测的时候应该有多细心呢？

　　6.分号(;)和分割符(　)

　　分号截断程序流程，就像这个

　　shell_exec("del ./yourpath/$file"); //使用系统函数shell_exec删除文件$file

　　变量$file没指定，那么直接写zizzy.php;del ./yourpath ,这样你的yourpath目录也就被del了。

　　分割符(　)是UNIX里自带的管道函数，可以连接几条命令来执行。有时候加在过滤不严的系统函数中执行。

　　逻辑错误

　　验证不完全和一些逻辑错误在程序里也很容易找到，特别是现在的程序员，只顾深入的学习，而对于逻辑错误等等这样的安全意识都没有培养的意识，其实这是是靠自己去培养，而不是等着人来报告bug给你。对于逻辑错误的判断，我们只能说，多练练吧，经验才是最重要的。

　　1.对于登陆验证的问题。举个例子：我们看某论坛的admin.php片断

　　它这里username 和 password好像不对劲吧，存在管理员的username和password就直接通过验证，那就意味着没有用户名，没密码也行吧。我们提交

　　GET /bbs/admin/index.php?page=general HTTP/1.1
　　Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
　　Accept-Language: zh-cn
　　Accept-Encoding: gzip, deflate
　　User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)
　　Host: 127.0.0.1
　　Connection: Keep-Alive
　　Cookie: username=’or isnull(1/0) AND level=3/*; password=;

　　这是我们伪造的一个数据包(你问我咋伪造地？抓包再修改呗),我们使用GET来提交数据，原理也就是在cookie这里构造欺骗语句。

　　接着，整个SQL语句就成这样

　　SELECT * FROM users WHERE username=’’or isnull(1/0) AND level=3/*’ AND password=’’

　　这里仅仅用一个’or’=’or’的原理，就把username和password的检测给绕开了，而level=3则是伪造的等级。从而就饶过了检测，进入了管理后台。

　　对于后台的验证不能这么马虎，两行代码就算完事，你还得从SESSION(会话),Cookie这些地方来增强验证。

　　2.上传漏洞

　　有次我看到在一个程序config.php里对上传文件类型限制是这样的

　　$IllegalExtentions = array(’exe’,’asp’,’php’,’php3’,’bat’,’cgi’,’pl’,’com’,’vbs’,’reg’,’pcd’,’pif’,’scr’,’bas’,’inf’,’vb’,’vbe’,’wsc’,’wsf’,’wsh’); //对于上传文件的限制，只允许上传exe,asp,php,php3,bat,cgi,pl,com,vbs,reg,pcd,pif,scr,bas,inf,vb,vbe,wsc,wsf,ws’这些文件。

　　规定不许用户上传什么什么文件，其它都可以上传，这种逻辑好不好呢？如果我上传.inc, ,.php4 .phtml, .html, .pwml 这样的类型呢？为什么你不把这种逻辑思维改为规定用户除了这几种文件能传，其它的统统不允许上传。就像这样，数组改成逆向的思维。

　　$IllegalExtentions = array(’rar’,’gif’,’jpg’,’bmp’,’pdf’）//只能上传rar,gif,jpg,bmp,pdf几种格式

　　其实这个跟你们上传cer,asa是一个道理。

　　3.典型的逻辑错误

　　在一些cms（整站程序）中随便注册个用户，你会发现修改资料的地方不要求输入原来的密码，只通过判断用户id或者email，你把网页保存到本地，把id或email改成管理员的，action 改为修改提交地址，提交你就成了管理员。解决办法不太难，只要我们增加密码验证，增强那个mysql的update语句的过滤也就ok了。

　　这些我们也没办法，多数程序员对于安全根本不去在意，本来一个人可以去做的事，为什么偏偏要分出搞web安全的和web开发两种人呢？

上一页  [1] [2] [3] 下一页