很多朋友告诉我一定要去不断总结自己学的东西,并且不要吝啬拿出来与人分享,这样才有一个很好的沉淀和交流,还有彼此的促进。于是自己把自己一部分学习笔记整理了一下。还有一些自己平时总结的一些学习经验,希望对大家有所帮助。
CGI脚本是在网络服务器上解释执行的,然后将执行的结果返回给客户端(就是我们的浏览器)。因为perl的强大功能、他的灵活性和对所有流行的操作系统的支持,当然还有它的“价格”(纯免费)。使其受到了很多CGI编程者的青睐。我们知道任何语言本身是无安全性可言的,安全只是存在于使用他的人的身上。所以如果在编写脚本时,没有安全的意识,那么编写出的代码也就没有安全的"功能"了。
一、注意对变量的处理
1、用户的输入是不可信任的,当谈到安全编程的时候,比尔盖茨先生对他的员工说了一句非常经典的话:All input is invalid.(所有的用户输入都是有害的,具体是不是他第一个说的,有待考察)
一切用户输入的地方都是我们应当注意的地方。大家知道美国最著名的电子商务网站e***.com吧,他在1999年就被黑客用以下的方法入侵了。我们的新浪网站也被用同一种方法攻了进去,并且还被人截了图。。。。
来看一段代码吧:
-----------Code Start------------
#unsafecodz.cgi
01 $filepath="f://myhome//bbs//"
......
......
13 $filename=$query - param( page );
14 if ($filename eq "")
15 { $filename="error.html";
16 die("对不起,文件名不能为空!");
17 }
18 else{
19 $filename="$filepath/".$filename;
20 open(FILE,$filename);
21 while()
22 {
23 print $_;
24 }
25 close(FILE)
......
-----------Code Ends-------------
这段代码基本上没有作太多改动,因为我演示是在自己的机子上,所以把路径改了一下,我们在这里回放一下曾经的过程。
这段代码是网站用来浏览的其他网页的,如:http://127.0.0.1/myhome/bbs/unsafecodz.cgi?page=something.html,就会浏览something.html这个文件,这里的$filename用param提取page中用户输入的内容,$filename其实是用户间接输入的内容,而代码对$filename并没有做严格的审查只是检查是否为空,如果恶意用户直接在浏览器中指定其他文件,如cgi,asp或者任何文件,则返回的是文件的源代码,如:http://127.0.0.1/myhome/bbs/unsafecodz.cgi?page=unsafecodz.cgi。
看到unsafecodz.cgi的源代码了,通过简单的浏览其他的页面,我们可以基本上可以得到所有文件的源代码。我们也可以通过"../"来切换到其他的目录下。
这还不是最糟糕的,如果你的系统是Linux或者UNIX,那么更过分的在这里呢!http://127.0.0.1/myhome/bbs/cgi-bin/unsafecodz.cgi?page=/../../../../../../ect/passwd。结果显而易见,可以看到了主机的用户名和密码文档。
这也不是最遭的,如果利用open函数加管道符执行任意命令的后果会怎么样?利用open函数执行命令的技术很老了,我就不废笔墨了。
后来有人对代码进行加固,将第19行改成 $filename="$filepath/".$filename.".html" 他限定后面4位为html,但是这样的加固似乎起不到什么作用,因为它忽略了NULL字符。提交如下请求依然可以绕过他的限定:
/myhome/bbs/unsafecodz.cgi?page=unsafecodz.cgi%00.html
还是这个问题,还有人这么加固代码,它在将19行改了之后,又将第14行改成:
if (($filename eq "") || (-e $filename))
他在这里检查文件是否存在,如果不存在就不去进行后面的操作,我们这么依然提交:
/myhome/bbs/unsafecodz.cgi?page=unsafecodz.cgi%00.html
你会发现我们依然可以成功。
他还是忽略了什么,他忽略了什么呢?他忽略了null字符是可以绕开-e的检查,也就是说(-e $filename)将会认为文件是存在的,因为%00后面的东西在-e中会被忽略。
ok,这里我们停一下,我们应该能注意到刚才是什么改变了程序本来的流程。就是那个null字符(\0),想想还有什么我们可以用来改成程序的流程呢?\t,\r,\x0B,\n,空格。这些字符都很有用,大家记住它并要学会如何自由运用这些东西。大家是否还记得前不久的dvbbs论坛漏洞,就是由于上传中的null字符所引起的。很多时候你会发现技术突破不过就是你的技术积累沉淀后的爆发。
##关键词:用户输入的变量
##检查:是否做过有效过滤
2、隐式输入的危害
用户的输入分为两种,显示输入和隐式输入。上面的例子没有注意到用户的输入导致问题的出现。因为那是用户直接输入的,算是显示输入吧。现在很多程序员都会下意识的去保护自己程序的安全性或者他们本身就了解一些安全的重要性,都会加一些有用或者没用的限制,用户直接输入可利用的部分越来越少,于是隐式输入就开始受到关注。这里说的并不仅仅是perl cgi,包括现在一大帮人玩的asp注入攻击,还有本来是n年前的技术现在才浮出水面的php注入还有一些其他的攻击手段。仔细回顾一下你就会发现很多都是隐式输入所引起。隐式输入都是不被程序员注意或者容易被忽略的地方。
cookie应该算是隐式输入中比较典型的例子,我们就用cookie来说事儿吧......
-----------Code Start------------
#unsafecodz2.cgi
......
18 $filename=$query-cookie("namecookie");#**********#
19 $filename="$filepath/".$filename;
20 open(FILE,$filename);
21 while()
22 {
23 print $_;
24 }
25 close(FILE)
-----------Code Ends------------
注意打星号的那一行,这只是提取cookie而已,这的确不是用户的直接输入,但这却是用户可以间接控制的。如果恶意用户通过nc提交如下东东,后果是什么呢?
GET /myhome/unsafecodz2.cgi HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Host: 127.0.0.1
Connection: Keep-Alive
Cookie: namecookie=/../../../../../ect/passwd
我们看到这行中
Cookie: namecookie=/../../../../../ect/passwd
一般隐式输入都不容易被注意。
这里攻击者可以通过构造cookie来控制网站,结果就是和上面的一样。说到这里其实都是一句话:All input is invalid。作为代码的编写者要注意所有用户可以直接或间接控制的地方。
这里你可能觉得你似乎明白了,但我敢说其实你并没有真的明白,cookie的控制是里面最简单的一个例子。隐式输入很多时候,不要说写代码的人了,就连很多WEB安全的高手都不见得能够非常容易的找到,他们更多的是凭自己的经验和直觉。你可能觉得我言过其实了,其实并没有,简单的连傻瓜都能看出来的隐式输入,当然容易找到。但是许多的危害更大的,并不那么容易发现,所以这个时候多是凭借自己的经验和对漏洞"味道"灵敏的嗅觉。
##关键词:没有
##检查:是否做过有效过滤
解决方法其实很简单,就是严格控制用户的输入。所谓严格控制并不只是过滤,因为过滤难免有漏网之鱼。限定要比过滤来得轻巧和严格。把用户的输入控制在你规定的范围内,可以用一个正则表达式来给用户划一个范围,指定用户可以输入的字符或者数字,如果用户输入与你的规定的不匹配,则不与通过。
至于如何做限定,用正则表达式会很简单。我用email的例子说明:
if (email !~/^[\w.-]+\@[w.-]+$))#如果不和里面的规定字符匹配则报错
{
&error"输入不正确,难道您就是传说中的黑客?"
}
else
{
#输入正确,继续操作。
......
email的一般格式是fakename@fakename.org。我们只希望用户输入字符、数字、@、"."、“-”、“_”这些东东。永远不要幻想用户会按照你所希望的输入,除非你给他们划定范围。在这里用以一个简单的正则表达式。在这个正则表达式中,要求用户只能输入英文大小写字符,数字和“@”,"-","_""."这几个字符,如果输入其他的,则报错。
二、注意几个危险函数在代码中的使用和特殊字符过滤。
1、有几个危险函数在程序中用得越少越安全(这么说好像有点不严格,呵呵)。因为很多都是黑客的突破口。这些函数是:system(),open(),exec()。
system()和exec都可以执行系统命令,如system("del f:\\myhome\\$filname"),如果$filename也是通过表单从用户那里得到的,如果我们在$filename处输入1.txt;del f:\\myhome。我们就删除了整个目录。我们现在可以删除任意文件。如果你用管道操作符的话也可以。
其实system()函数可以执行系统命令,如果对其中变量缺少严格限制容易引起安全问题,程序员们或多或少的知道一些,但是由于快速开发或者项目给的时间紧,为了应付差事,往往不会理会。
##关键词:system()、exec()
##检查:函数中是否有可控制的变量,是否可利用
open()函数也是我们应当留意的地方,大家不要误会,open函数本身是没有什么的,而是里面的用户输入的数据导致的问题集中到了open()函数上。open()函数本来是用来打开一些文件,我们看到我们的第一个程序就是因为open函数引起的泄漏源代码。我们还可以通过“”,"
