代码安全之参数安全过滤

2018 年 9 月 11 日 计算机与网络安全

一次性进群,长期免费索取教程,没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号:微信群;QQ群:16004488


微信公众号:计算机与网络安全

ID:Computer-network

所有对Web应用的攻击都要传入有害的参数,因此代码安全的基础就是对传入的参数进行有效的过滤,比如像SQL注入漏洞,只要过滤到单引号,就能防御住大部分的string类型的SQL注入,只要过滤掉尖括号和单双引号也能过滤掉不少XSS漏洞,这种简单的过滤跟完全不过滤带来的效果是天壤之别,我们做的就是要细化这些过滤规则,通过横向扩展防御策略来拦截更多的攻击,不少第三方提供了这样的过滤函数和类,我们可以直接引用,另外PHP自身提供了不少过滤的函数,好好使用这些内置的函数也能达到非常好的效果。


一、第三方过滤函数与类


在一些中小型的Web应用程序中,由于大多数开发者是不怎么懂安全的,所以都会选择一些第三方的过滤函数或者类,直接拿过去套着用,并不知道效果到底怎么样。在PHP安全过滤的类里面,比较出名的有出自80sec团队给出的一个SQL注入过滤的类,在国内大大小小的程序像discuz、dedecms、phpmywind等都使用过。

目前大多数应用都有一个参数过滤的统一入口,类似于dedecms的代码,如下所示:


foreach(Array('_GET','_POST','_COOKIE')as $_request)

{

foreach($$_request as $_k => $_v)

{

if($_k == 'nvarname')${$_k} = $_v;

else ${$_k} = _RunMagicQuotes($_v);

}

}


跟进_RunMagicQuotes()函数之后的代码如下:


function _RunMagicQuotes(&$svar)

{

if(!get_magic_quotes_gpc())

{

if(is_array($svar))

{

foreach($svar as $_k => $_v)$svar[$_k] = _RunMagicQuotes($_v);

}

else

{

if(strlen($svar)>0&& preg_match('#^(cfg_|GLOBALS|_GET|_POST|_COOKIE)#',$svar))

{

exit('Request var not allow!');

}

$svar = addslashes($svar);

}

}

return $svar;

}


而这里仅仅是使用addslashes()函数过滤,确实能防御住一部分漏洞,但是对特定的场景和漏洞就不那么好使了。所以除了总入口,在具体的功能点也需要进行一些过滤。


(一)discuz SQL安全过滤类分析


discuz全称Crossday Discuz!Board,是一套开源通用的社区论坛软件系统,使用PHP+MySQL开发,由于用户量巨大,discuz一直是众多安全爱好者重点研究的对象,所以也被公布过不少的安全漏洞。经过数年的沉淀,如今的discuz主程序在代码安全方面已经做得比较成熟。


discuz在专门有一个SQL注入过滤类来过滤SQL注入请求,不过也出现了多次绕过的情况,下面我们来分析它的这个SQL注入过滤的类。


首先我们先看到discuz的配置文件/config/config_global.php中的“CONFIG SECURITY”部分内容,如下:


// -------------------------  CONFIG SECURITY  -------------------------- //

$_config['security']['authkey'] = '3ca530i1uCe7lRke';

$_config['security']['urlxssdefend'] = 1;

$_config['security']['attackevasive'] = '0';

$_config['security']['querysafe']['status'] = 1;

//是否开启SQL注入防御//


以下是过滤规则


$_config['security']['querysafe']['dfunction']['0'] = 'load_file';

$_config['security']['querysafe']['dfunction']['1'] = 'hex';

$_config['security']['querysafe']['dfunction']['2'] = 'substring';

$_config['security']['querysafe']['dfunction']['3'] = 'if';

$_config['security']['querysafe']['dfunction']['4'] = 'ord';

$_config['security']['querysafe']['dfunction']['5'] = 'char';

$_config['security']['querysafe']['daction']['0'] = '@';

$_config['security']['querysafe']['daction']['1'] = 'intooutfile';

$_config['security']['querysafe']['daction']['2'] = 'intodumpfile';

$_config['security']['querysafe']['daction']['3'] = 'unionselect';

$_config['security']['querysafe']['daction']['4'] = '(select';

$_config['security']['querysafe']['daction']['5'] = 'unionall';

$_config['security']['querysafe']['daction']['6'] = 'uniondistinct';

$_config['security']['querysafe']['dnote']['0'] = '/*';

$_config['security']['querysafe']['dnote']['1'] = '*/';

$_config['security']['querysafe']['dnote']['2'] = '#';

$_config['security']['querysafe']['dnote']['3'] = '--';

$_config['security']['querysafe']['dnote']['4'] = '"';

$_config['security']['querysafe']['dlikehex'] = 1;

$_config['security']['querysafe']['afullnote'] = '0';


我们可以看到discuz配置文件中可以设置是否开启SQL注入防御,这个选项默认开启,一般不会有管理员去关闭,再往下的内容:


$_config['security']['querysafe']['daction']


以及


$_config['security']['querysafe']['dnote']


都是SQL注入过滤类的过滤规则,规则里包含了常见的注入关键字。


Discuz执行SQL语句之前会调用\source\class\discuz\discuz_database.php文件discuz_database_safecheck类下面的checkquery($sql)函数进行过滤,我们来跟进这个函数看看,代码如下:


public static function checkquery($sql)

{

if(self::$config === null)

{

self::$config = getglobal('config/security/querysafe');

}

if(self::$config['status'])

{

$check = 1;

$cmd = strtoupper(substr(trim($sql),,3));

if(isset(self::$checkcmd[$cmd]))

{

$check = self::_do_query_safe($sql);

elseif(substr($cmd,,2)=== '/*')

{

$check = -1;

}

if($check < 1)

{

throw new DbException('It is not safe to do this query',,$sql);

}

}

return true;

}


从代码中可以看到,程序首先加载配置文件中的config/security/querysafe,根据$config['status']判断SQL注入防御是否开启,再到$check=self::_do_query_safe($sql);可以看到该函数又调用了同类下的_do_query_safe()函数对SQL语句进行过滤,我们继续跟进_do_query_safe()函数,代码如下:


private static function _do_query_safe($sql)

{

$sql = str_replace(array('\\\\','\\\'','\\"','\'\''),'',$sql);

$mark = $clean = '';

if(strpos($sql,'/')=== false && strpos($sql,'#')=== false && strpos($sql,'-- ')=== false && strpos($sql,'@')=== false && strpos($sql,'`')=== false)

{

$clean = preg_replace("/'(.+?)'/s",'',$sql);

else 

{

$len = strlen($sql);

$mark = $clean = '';

for($i = 0;$i < $len;$i++)

{

$str = $sql[$i];

switch($str)

{

case '`':if(!$mark)

{

$mark = '`';

$clean .= $str;

elseif($mark == '`')

{

$mark = '';

}

break;

case '\'':

if(!$mark)

{

$mark = '\'';

$clean .= $str;

elseif($mark == '\'')

{

$mark = '';

}

break;

case '/':

if(empty($mark)&& $sql[$i + 1] == '*')

{

$mark = '/*';

$clean .= $mark;

$i++;

elseif($mark == '/*' && $sql[$i - 1] == '*')

{

$mark = '';

$clean .= '*';

}

break;

case '#':

if(empty($mark))

{

$mark = $str;

$clean .= $str;

}

break;

case "\n":

if($mark == '#' || $mark == '--')

{

$mark = '';

}

break;

case '-':

if(empty($mark)&& substr($sql,$i,3)== '-- ')

{

$mark = '-- ';

$clean .= $mark;

}

break;

default:

break;

}

$clean .= $mark?'':$str;

}

}

if(strpos($clean,'@')!== false)

{

return '-3';

}

$clean = preg_replace("/[^a-z0-9_\-\(\)#\*\/\"]+/is","",strtolower($clean));

if(self::$config['afullnote'])

{

$clean = str_replace('/**/','',$clean);

}

if(is_array(self::$config['dfunction']))

{

foreach(self::$config['dfunction'] as $fun)

{

if(strpos($clean,$fun . '(')!== false)

return '-1';

}

}

if(is_array(self::$config['daction']))

{

foreach(self::$config['daction'] as $action)

{

if(strpos($clean,$action)!== false)

return '-3';

}

}

if(self::$config['dlikehex'] && strpos($clean,'like0x'))

{

return '-2';

}

if(is_array(self::$config['dnote']))

{

foreach(self::$config['dnote'] as $note)

{

if(strpos($clean,$note)!== false)

return '-4';

}

}

return 1;

}


从如上代码我们可以看到,该函数首先使用:


$sql = str_replace(array('\\\\','\\\'','\\"','\'\''),'',$sql);


将SQL语句中的\\、\'、\"以及''替换为空,紧接着是一个if else判断逻辑来选择过滤的方式:


if(strpos($sql,'/')=== false && strpos($sql,'#')=== false && strpos($sql,'-- ')=== false && strpos($sql,'@')=== false && strpos($sql,'`')=== false)

{

$clean = preg_replace("/'(.+?)'/s",'',$sql);

else

 {


这段代码表示当SQL语句里存在'/'、#'、'--'、'@'、'`'这些字符时,则直接调用preg_replace()函数将单引号(')中间的内容替换为空,这里之前存在一个绕过,只要把SQL注入的语句放到单引号中间,则会被替换为空,进行下面再判断的时候已经检测不到SQL注入的关键字,导致绕过的出现,在MySQL中使用@`'`代表null,SQL语句可以正常执行。


else条件中是对整段SQL语句进行逐个字符进行判断,比如:


case '/':

if(empty($mark)&& $sql[$i + 1] == '*')

{

$mark = '/*';

$clean .= $mark;

$i++;

}

 elseif($mark == '/*' && $sql[$i - 1] == '*')

{

$mark = '';

$clean .= '*';

}

break;


这段代码的逻辑是,当检查到SQL语句中存在斜杠(/)时,则去判断下一个字符是不是星号(*),如果是星号(*)就把这两个字符拼接起来,即/*,然后继续判断下一个字符是不是星号(*),如果是星号则再继续拼接起来,得到/**,最后在如下代码中判断是否存在原来拦截规则里面定义的字符,如果存在则拦截SQL语句执行:


if(is_array(self::$config['dnote']))

{

foreach(self::$config['dnote'] as $note)

{

if(strpos($clean,$note)!== false)

return '-4';

}

}


国内知名的多款cms应用如dedecms等,都有使用类似这个过滤类,另外由于应用的基础架构不一样,这个过滤类应用起来的实际效果也各不太一样,discuz目前做得相对较好。


(二)discuz XSS标签过滤函数分析


目前大多数XSS过滤都是基于黑名单的形式,编程语言和编码结合起来千变万化,基于黑名单的过滤总给人不靠谱的感觉,事实确实是这样,目前好像还没有看到基于黑名单过滤的规则一直没有被绕过,其实在XSS的防御上,只要过滤掉尖括号以及单、双引号就能干掉绝大部分的payload。下面我们来看看discuz的HTML标签过滤代码,如下所示:


function checkhtml($html)

{

if(!checkperm('allowhtml'))

{

preg_match_all("/\<([^\<]+)\>/is",$html,$ms);

$searchs[] = '<';

$replaces[] = '&lt;';

$searchs[] = '>';

$replaces[] = '&gt;';

if($ms[1])

{

$allowtags = 'img|a|font|div|table|tbody|caption|tr|td|th|br|p|b|strong|i|u|em|span|ol|ul|li|blockquote|object|param';

$ms[1] = array_unique($ms[1]);

foreach($ms[1] as $value)

{

$searchs[] = "&lt;".$value."&gt;";

$value = str_replace('&','_uch_tmp_str_',$value);

$value = dhtmlspecialchars($value);

$value = str_replace('_uch_tmp_str_','&',$value);

$value = str_replace(array('\\','/*'),array('.','/.'),$value);

$skipkeys = array('onabort','onactivate','onafterprint','onafterupdate','onbeforeactivate','onbeforecopy','onbeforecut','onbeforedeactivate','onbeforeeditfocus','onbeforepaste','onbeforeprint','onbeforeunload','onbeforeupdate','onblur','onbounce','oncellchange','onchange','onclick','oncontextmenu','oncontrolselect','oncopy','oncut','ondataavailable','ondatasetchanged','ondatasetcomplete','ondblclick','ondeactivate','ondrag','ondragend','ondragenter','ondragleave','ondragover','ondragstart','ondrop','onerror','onerrorupdate','onfilterchange','onfinish','onfocus','onfocusin','onfocusout','onhelp','onkeydown','onkeypress','onkeyup','onlayoutcomplete','onload','onlosecapture','onmousedown','onmouseenter','onmouseleave','onmousemove','onmouseout','onmouseover','onmouseup','onmousewheel','onmove','onmoveend','onmovestart','onpaste','onpropertychange','onreadystatechange','onreset','onresize','onresizeend','onresizestart','onrowenter','onrowexit','onrowsdelete','onrowsinserted','onscroll','onselect','onselectionchange','onselectstart','onstart','onstop','onsubmit','onunload','javascript','script','eval','behaviour','expression','style','class');

$skipstr = implode('|',$skipkeys);

$value = preg_replace(array("/($skipstr)/i"),'.',$value);

if(!preg_match("/^[\/|\s]?($allowtags)(\s+|$)/is",$value))

{

$value = '';

}

$replaces[] = empty($value)?'':"<".str_replace('&quot;','"',$value).">";

}

}

$html = str_replace($searchs,$replaces,$html);

}

return $html;

}


从代码中可以看到,这里首先定义了一条正则取出来尖括号中间的内容:


preg_match_all("/\<([^\<]+)\>/is",$html,$ms);


然后在if($ms[1])这个if条件里对这些标签中的关键字进行筛选,$skipkeys变量定义了很多on事件的敏感字符,如下代码中可以看到,最后拼接正则将这些字符串替换掉:


$skipstr = implode('|',$skipkeys);

value = preg_replace(array("/($skipstr)/i"),'.',$value);


二、内置过滤函数


PHP本身内置了很多参数过滤的函数,以方便开发者简单有效且统一地进行安全防护,而这些函数可以分为多种类型,如SQL注入过滤函数、XSS过滤函数、命令执行过滤函数、代码执行过滤函数,等等,下面我们来看看这些函数的用法。


1、SQL注入过滤函数


SQL注入过滤函数有addslashes()、mysql_real_escape_string()以及mysql_escape_string(),它们的作用都是给字符串添加反斜杠(\)来转义掉单引号(')、双引号(")、反斜线(\)以及空字符NULL。addslashes()和mysql_escape_string()函数都是直接在敏感字符串前加反斜杠,这里可能会存在绕过宽字节注入绕过的问题,而mysql_real_escape_string()函数会考虑当前连接数据库的字符集编码,安全性更好,推荐使用。


2、XSS过滤函数


XSS过滤函数有htmlspecialchars()和strip_tags(),这两个函数的功能大不一样,htmlspecialchars()函数的作用是将字符串中的特殊字符转换成HTML实体编码,如&转换成&amp;,"转换成&quot;,'转换成&#039;,<转换成&lt;,>转换成&gt;这个函数简单粗暴但是却非常有效果,已经能干掉大多数的XSS攻击。


而strip_tags()函数则是用来去掉HTML及PHP标记,比如给这个函数传入“<h1>xxxxx</h1>”,经过它处理后返回的字符串为xxxxx。


3、命令执行过滤函数


通常我们进行系统命令注入的时候会使用到||以及&等字符,PHP为了防止系统命令注入的漏洞,提供了escapeshellcmd()和escapeshellarg()两个函数对参数进行过滤,escapeshellcmd()函数过滤的字符为'&'、';'、'`'、'|'、'*'、'?'、'~'、'<'、'>'、'^'、'('、')'、'['、']'、'{'、'}'、'$'、'\'、'\x0A'、'\xFF'、’%’以及单双引号,Windows下过滤方式则是在这些字符前面加了一个^符号,而在Linux下则是在这些字符前面加了反斜杠(\)。escapeshellarg()函数过滤方式比较简单,给所有参数加上一对双引号,强制为字符串。

    微信公众号:计算机与网络安全

    ID:Computer-network

    【推荐书籍】
    登录查看更多
    0

    相关内容

    SQL 全名是结构化查询语言,是用于数据库中的标准数据查询语言,IBM 公司最早使用在其开发的数据库系统中。
    Python地理数据处理,362页pdf,Geoprocessing with Python
    专知会员服务
    113+阅读 · 2020年5月24日
    【实用书】Python技术手册,第三版767页pdf
    专知会员服务
    234+阅读 · 2020年5月21日
    【复旦大学-SP2020】NLP语言模型隐私泄漏风险
    专知会员服务
    24+阅读 · 2020年4月20日
    【干货书】流畅Python,766页pdf,中英文版
    专知会员服务
    224+阅读 · 2020年3月22日
    安全和健壮的医疗机器学习综述,附22页pdf
    专知会员服务
    46+阅读 · 2020年1月25日
    后渗透利用msf关闭防火墙
    黑白之道
    8+阅读 · 2019年8月24日
    Kali Linux 渗透测试:密码攻击
    计算机与网络安全
    16+阅读 · 2019年5月13日
    自动驾驶仿真软件列表
    智能交通技术
    13+阅读 · 2019年5月9日
    一个牛逼的 Python 调试工具
    机器学习算法与Python学习
    15+阅读 · 2019年4月30日
    “黑客”入门学习之“windows系统漏洞详解”
    安全优佳
    8+阅读 · 2019年4月17日
    基于Web页面验证码机制漏洞的检测
    FreeBuf
    7+阅读 · 2019年3月15日
    被动DNS,一个被忽视的安全利器
    运维帮
    11+阅读 · 2019年3月8日
    介绍WAF以及过滤机制
    黑白之道
    22+阅读 · 2019年2月5日
    一天精通无人中级篇:遥控器协议 S-BUS
    无人机
    51+阅读 · 2018年12月20日
    EKF常用于目标跟踪系统的扩展卡尔曼滤波器
    无人机
    9+阅读 · 2017年7月25日
    Arxiv
    24+阅读 · 2020年3月11日
    Few-shot Learning: A Survey
    Arxiv
    362+阅读 · 2019年4月10日
    Arxiv
    8+阅读 · 2018年4月8日
    Arxiv
    6+阅读 · 2018年1月14日
    VIP会员
    相关VIP内容
    相关资讯
    后渗透利用msf关闭防火墙
    黑白之道
    8+阅读 · 2019年8月24日
    Kali Linux 渗透测试:密码攻击
    计算机与网络安全
    16+阅读 · 2019年5月13日
    自动驾驶仿真软件列表
    智能交通技术
    13+阅读 · 2019年5月9日
    一个牛逼的 Python 调试工具
    机器学习算法与Python学习
    15+阅读 · 2019年4月30日
    “黑客”入门学习之“windows系统漏洞详解”
    安全优佳
    8+阅读 · 2019年4月17日
    基于Web页面验证码机制漏洞的检测
    FreeBuf
    7+阅读 · 2019年3月15日
    被动DNS,一个被忽视的安全利器
    运维帮
    11+阅读 · 2019年3月8日
    介绍WAF以及过滤机制
    黑白之道
    22+阅读 · 2019年2月5日
    一天精通无人中级篇:遥控器协议 S-BUS
    无人机
    51+阅读 · 2018年12月20日
    EKF常用于目标跟踪系统的扩展卡尔曼滤波器
    无人机
    9+阅读 · 2017年7月25日
    相关论文
    Arxiv
    24+阅读 · 2020年3月11日
    Few-shot Learning: A Survey
    Arxiv
    362+阅读 · 2019年4月10日
    Arxiv
    8+阅读 · 2018年4月8日
    Arxiv
    6+阅读 · 2018年1月14日
    Top
    微信扫码咨询专知VIP会员