發表者	討論內容
冷日 (冷日)	發表時間：2014/4/2 8:16
Webmaster 註冊日: 2008/2/19 來自: 發表數: 15773	[轉載]PHP SQL Injection 和 XSS 的偵測程式和程式撰寫注意事項 PHP SQL Injection 和 XSS 的偵測程式和程式撰寫注意事項 - 2008 發表於 2008 年 08 月 27 日由 Tsung 程式的安全, 除了本身自己該注意的事項外, 還有不少偵測程式, 可以幫你避免掉意外狀況. 此文章加上年份的資料, 主要是因為安全性會隨著時間演變, 原本安全的程式也會變的不安全(ex: XSS), 所以本篇文章是 2008 年寫的, 或許到 2009 年就過時囉, 請把此篇當參考, 再去看最新的安全資訊會比較保險.(不過就算過時, 請還是不要把它遺漏掉, 過時的漏洞還是漏洞, 還是會有安全性的問題產生) 關於安全的資訊, 先講結論就是: 網路是危險的. 大家能做到的就是盡可能的保護, 但是無法保證絕對的安全.(另外安全和方便通常是呈反比的) 這兩篇文章/簡報都蠻值得看看, 有助於瞭解下面為何要做那些事, 和其它的防範: TWCERT/CC 的文章: SQL Injection 簡介與相關防護, 這邊有人將此文章做過美化整理的版本: 網站安全相關 : SQL Injection 簡介與相關防護 SA@Taipei - LAMP 之攻防演練及安全強化實作 (08/16)">2008 八月份的 SA@Taipei - LAMP 之攻防演練及安全強化實作 (08/16) - 簡報下載(推薦此簡報要看) 簡報備份下述先就幾方面做整理: PHP 程式撰寫上該注意到的事項 SQL Injection/XSS(Cross-site scripting attacks) 偵測程式(白箱/黑箱測試) PHP 系統上的注意事項相關文章整理 PHP 程式撰寫上該注意到的事項首先對於安全的認知, 就是外部拉到的資料(使用者送出的資料), 都是不安全的, 都要做嚴謹的檢查. 哪些是外部拉到的資料(使用者送出的資料)? GET: $_GET (Form submit/網址列參數) POST: $_POST REQUEST: $_REQUEST COOKIE: $_COOKIE JSON/AJAX/合作廠商送的資料/讀取檔案, 要將資料寫入 DB 的 Data 等. 有人常會說用 Framework 就可以避免掉這種事情, 個人認為這是不太正確的想法, 因為太依賴 Framework, 反而有可能造成安全上的漏洞.(註: 並不是指不要用 Framework, 而是用 Framework 還是要注意下述的安全問題) ex: Framework 通常會幫你做好 SQL Injection 預防的處理, 但是於 XSS 的處理上, 這通常還是得要有自己的認知, 哪些地方能使用 HTML, 秀出來的 HTML 要做過哪些處理? 允許哪些 HTML Tag? 要怎麼過濾? 這些一般 Framework 並沒辦法幫你做決定, 處理上也沒那麼容易. PHP 本身已經提供預防各類安全問題的處理方法, 下述就簡單列出來, 不過隨時代演進, 會跟著改變, 就看當下的狀況來處理囉~ PHP 設定檔(php.ini) 轉載 LAMP 攻防簡報裡的內容, 不過 magic_quotes_gpc 做個修改 register_global = off (全域變數) magic_quotes_gpc = off (' => \' , " => \" , %00 => \ 0) (建議 magic_quotes_gpc = off 自己處理) display_error = off (在網頁上顯示錯誤訊息) log_error = on (紀錄錯誤訊息) allow_url_fopen = off (可開啟遠端網頁) expose_php = off (顯示PHP 版本資訊) open_basedir = (允許開啟的目錄) safe_mode = on (安全模式) disable_function = (禁止使用的函數) safe_mode_include_dir = (允許include的目錄) PHP 接收參數 GET/POST/REQUEST/COOKIE/SERVER/ENV. PHP Filter Functions(要安裝 Pecl filter) 沒有使用此 Filter 也無所謂, 重點是要做嚴謹的檢查.(ex: integer, 年月日.. 等) PHP 於寫入 DB 階段:( SQL Injection) mysql_escape_string mysql_real_escape_string prepare + execute( PDO) PHP 於 HTML 頁面的呈現(無法讓 User 使用 HTML 情況) htmlspecialchars htmlentities ex: htmlentities($str, ENT_QUOTES, 'UTF-8'); PHP 於 HTML 頁面的呈現(讓 User 使用 HTML 情況) HTML Purifier: HTML Purifier is a standards-compliant HTML filter library written in PHP. PHP HTML Sanitizer: Remove unsafe tags and attributes from HTML code htmLawed: PHP code to purify & filter HTML Secure PHP HTML parser and filter PHP 於 Shell script command(呼叫外部程式帶入參數, ex: system, exec) escapeshellarg escapeshellcmd 瀏覽器 URL列 GET 的參數傳送 urlencode: 將要傳的參數值都要經過 urlencode, 這主要是符合標準 ( RFC 1738). PHP Source code 加密(Encrypt), 某些商業用途採用 Zend Encoder + Optimizer ionCube Standalone Encoder 相關參考: ionCube、SourceCop、SourceGuardian、phpShield 四款 PHP 原始碼加密軟體測試 eAccelerator 相關參考: eAccelerator 安裝(前身為 Turck MMCache) phpShield SourceCop SourceGuardian PHP Encoder PHTML Encoder SQL Injection/XSS(Cross-site scripting attacks) 偵測程式(白箱/黑箱測試) 註: 這些工具請不要拿去玩其它網站, 只做自己程式/網站的掃描測試用. 程式本身需要加 mysql_escape_string/htmlspecialchars 等(上述挑其一方法做), 總會有不小心漏掉, 或者那是外來程式等, 下述的工具可以來做簡單的檢測~ (我目前使用 Wapiti 和 Pixy, 其它就不太熟了.) Wapiti - Web application security auditor(相關文章: Wapiti - 小巧的網站漏洞檢測工具) (可檢測 SQL injection/XSS) 安裝/使用方法: apt-get install libtidy-0.99-0 python-ctypes python-utidylib python wapiti.py http://Your Website URL/ -m GET_XSS Pixy: XSS and SQLI Scanner for PHP(相關文章: Pixy - PHP 原始碼的弱點分析工具) 使用前要先安裝: apt-get install default-jdk Remote PHP Vulnerability Scanner(檢測PHP網頁問題: 自動化進行檢測 PHP 網頁的弱點, 對於 XSS 檢測能力較強) DeXSS (找 XSS 漏洞) Top 15 free SQL Injection Scanners check_websites: check_websites is a very simple virus scanner for Web sites. PHPIDS - PHP 入侵偵測系統 10+ Free Web Application Security Testing Tools PHP 系統上的注意事項系統上該注意的, 就是本身系統要更新, 然後 PHP 部份, 就是把 Suhosin 裝起來. 安裝方法有下述兩種: 使用 PHP Suhosin extenstion: apt-get install php5-suhosin 將 Suhosin 編進 PHP: How To Harden PHP5 With Suhosin (Debian Etch/Ubuntu) 相關文章整理上述感覺不到危險的, 這幾篇文章可以自己試著測試自己寫的程式看看.(請不要拿來測試非自己的網站/程式) SQL Injection規避入侵檢測技術 XSS測試語法大全 CGI漏洞攻擊整理 SQL Injection Attacks and Some Tips on How to Prevent Them 檢查 CGI 安全漏洞 Security in PHP - Tutorial - 推薦要看此篇連結的 PDF 檔(含 PHP 設定, 程式設計注意事項) 300+ PHP Presentations Online - 推薦此篇的 ppt 都要看 Form 的安全性問題 MySQL SQL Injection Cheat Sheet 下述就比較偏向其它相關文章整理 10 Advanced PHP Tips To Improve Your Programming JSON 的安全性 The safety of JSON PHP 用的 Input filter extension 變數在 xx 的處理方式建構ajax網站時的安全性問題 Net tools - 功能非常強大的網路安全軟體集網站安全自動化檢測工具紛問世 PHP安全編程虛擬主機與 PHP 安全性 MySQL 安全性指南 Linux 75 套安全工具 Data Filtering Using PHP's Filter Functions - Part one PHP Security Guide skipfish - web application security scanner 原文出處：PHP SQL Injection 和 XSS 的偵測程式和程式撰寫注意事項 - 2008 - Tsung's Blog
回覆