php核心配置

register_globals 全局变量注册开关 设置为on时,把GET/POST的变量注册成全局变量 PHP 5.4.0中移除
allow_url_include 包含远程文件 设置为on时,可包含远程文件 PHP 5.2后默认为off
allow_url_fopen  打开远程文件    
magic_quotes_gpc 魔术引号自动过滤 设置为on时,自动在GET/POST/COOKIE变量中',",\,NULL的前面加上\ PHP5不会过滤$_SERVER变量,PHP5.4以后移除
magic_quotes_runtime 魔术引号自动过滤 与mq_gpc的区别:mq_runtime只过滤从数据库/文件中获取的数据 PHP5.4以后移除
magic_quotes_sybase 魔术引号自动过滤 会覆盖掉_gpc;仅仅转义NULL和把'替换成" PHP5.4以后移除
safe_mode 安全模式 联动配置指令有很多;...... PHP5.4以后移除
open_basedir PHP可访问目录 用;分割多个目录,且以前缀而非目录划分 PHP5.2.3以后范围时PHP_INI_ALL
disable_functions 禁用函数 如果使用此指令,切记把dl()函数也加入到禁用列表  
display_errors/error_reporting 错误显示 d_errors为off时,关闭错误回显,为on时,可配置e_reporting,等级制  
。。。      

审计思路

1)敏感关键字

2)可控变量

3)敏感功能点

4)通读代码

SQL注入

经常出现在登录页面/获取HTTP头/订单处理等地方。

防范

1.addslashes函数

过滤的值范围和_gpc时一样的

2.mysql_[real_]escape_string函数

在PHP 4.0.3以上,\x00 \n \r \ ' " \xla受影响

3.intval等字符转化

上面提到的过滤方式,对int类型注入效果并不好。

4.PDO prepare预编译

XSS漏洞

输出函数:print/print_r/echo/var_dump/printf/sprintf/die/var_export

经常出现在文章发表/评论回复/留言以及资料设置等地方。特别是在发表文章的时候,因为这里大多都是富文本,有各种图片引用/文字格式设置等,所以经常出现对标签事件过滤不严格导致的xss。

CSRF漏洞

CSRF主要用于越权操作,所以漏洞自然在有权限控制的地方,像管理后台/会员中心/论坛帖子以及交易管理等。

黑盒挖掘经验:打开几个有非静态操作的页面,抓包看看有没有token,如果没有的话,再直接请求(不带referer)这个页面,如果返回的数据还是一样的话,那说明很有可能有CSTF漏洞了。

白盒挖掘经验:通读代码看看几个核心文件里面有没有验证token和referer相关的代码。核心文件指被大量文件引用的文件。

文件包含漏洞

include/include_once/require/require_once

文件包含漏洞大多出现在模块加载/模板加载以及cache调用的地方,比如传入的模块名参数,实际上是直接把这个拼接到了包含文件的路径中。

文件包含截断:

1.%00;受限于gpc和addslashes,php5.3之后被修复。

2.././....;不受限gpc,同样在PHP5.3之后被修复。windows下240个.或者./能够截断,linux2038个./组合才能截断

文件上传漏洞

move_uploaded_file

1.未过滤或本地过滤

2.黑名单拓展名过滤

3.文件头/content-type验证绕过

代码执行漏洞

eval/assert/preg_replace/call_user_func/call_user_func_array/array_map等,还有PHP东陶函数$a($b)

preg_replace:读字符串进行正则处理,当pattern部分带/e修饰符时,replacement的值会被当成php代码执行。

call_user_func和array_map等数十个函数...

命令执行漏洞

system/exec/shell_exec/passthru/pcntl_exec/popen/proc_open/另外``实际上时调用shell_exec函数

system/exec/shell_exec/passthru会执行命令并直接回显结果

pcntl_exec:pcntl是PHP的多进程处理拓展,在处理大量任务的情况下会使用到

popen/prc_open不会直接回显结果,而是返回一个文件指针:popen('whoami >> D:2.txt','r')

变量覆盖漏洞

extract/parse_str,import_request_variables则是用在没有开启全局变量注册的时候,调用这个函数则相当于开启了全部变量这侧,PHP5.4以后被取消。

$$

extract需要一定条件,没有第二个参数或者第二个参数extract_type为EXTR_OVERWRITE/EXTR_IF_EXISTS时,可覆盖。

parse_str直接覆盖

import_request_variables把GET/POST/COOKIE的参数注册成变量,用在register_globals被禁止时,需要php4.1~5.4。

业务逻辑漏洞

逻辑漏洞很大,这里单说业务逻辑上面的漏洞。

支付/找回密码/程序安装等。

挖掘经验:通读代码,理解业务流程。

值得关注的点:程序是否可重复安装/修改密码处是否可越权修改其他用户密码/找回密码验证码是否可暴力破解以及修改其他用户密码/cookie是否可预测/cookie验证是否可绕过等。

PHP审计基础的更多相关文章

  1. ssrf解题记录

    ssrf解题记录 最近工作需要做一些Web的代码审计,而我Web方面还比较薄弱,决定通过一些ctf的题目打打审计基础,练练思维,在博客上准备开几个专题专门记录刷题的过程. pwn题最近做的也很少,也要 ...

  2. Linux基础提高_sudo,行为审计,跳板机

    sudo 临时给普通用户赋予root权限的一种方式 echo "%wheel        ALL=(ALL)       NOPASSWD: ALL" >>/etc/ ...

  3. Linux实战教学笔记06:Linux系统基础优化

    第六节 Linux系统基础优化 标签(空格分隔):Linux实战教学笔记-陈思齐 第1章 基础环境 第2章 使用网易163镜像做yum源 默认国外的yum源速度很慢,所以换成国内的. 第一步:先备份 ...

  4. ABP框架实践基础篇之开发UI层

    返回总目录<一步一步使用ABP框架搭建正式项目系列教程> 说明 其实最开始写的,就是这个ABP框架实践基础篇.在写这篇博客之前,又回头复习了一下ABP框架的理论,如果你还没学习,请查看AB ...

  5. ABP文档 - 审计日志

    文档目录 本节内容: 简介 关于 IAuditingStore 配置 通过特性启用/禁用 注意 简介 维基百科:“一个审计追踪(也叫审计日志)是一个安全相关的时序记录.记录组.和/或记录源和目标,作为 ...

  6. 解析大型.NET ERP系统 数据审计功能

    数据审计,英语表达是Audit,是追踪数据变化的过程,记录数据变化前后的值,供参考分析.通过设置,ERP可以追踪一个表的所有字段的变化,也可以只记录指定的字段的值变化.欧美企业每年都有独立的审计部门, ...

  7. IT基础架构规划方案三(IT基础软件和系统规划)

    IT基础软件和系统规划 操作系统选型规划方案 根据对某集团的实际调研,获取了企业业务应用系统的建设情况,随着企业信息化建设的推进,需要对各种信息化管理系统和应用系统的服务器选型进行选型规划,根据不同的 ...

  8. java必备基础知识点

    Java基础 1. 简述Java的基本历史 java起源于SUN公司的一个GREEN的项目,其原先目的是:为家用消费电子产品发送一个信息的分布式代码系统,通过发送信息控制电视机.冰箱等 2. 简单写出 ...

  9. 数据库DDL审计

    一.为什么需要数据库DDL审计? DDL在生产系统中扮演非常重要的作用. 1)首先从业务角度来说,DDL可能意味着表结构变更,意味着新的版本即将发布,是个重要的时刻. 2)其次从运维角度来说,DDL尤 ...

随机推荐

  1. install-newton部署安装--------计算节点部署安装

    #################################################################################################### ...

  2. Java中校验身份证号合法性(真伪),获取出生日期、年龄、性别、籍贯

    开发过程中有用的身份证号的业务场景,那么校验身份证的合法性就很重要了,另外还有通过身份证获取出生日期.年龄.性别.籍贯等信息, 下面是本人在开发中用到的关于校验身份证真伪的工具类,可以直接拿来使用,非 ...

  3. python连接mysql中报错1064修改方法

    Python是编程语言,MySQL是数据库,它们是两种不同的技术:要想使Python操作MySQL数据库需要使用驱动.这里选用PyMySQL驱动.下载地址: https://pypi.python.o ...

  4. os.path获取当前路径及父路径

    import os pwd = os.getcwd() print("当前目录: " + pwd) father_path_method1 = os.path.dirname(pw ...

  5. idea使用技巧一常用快捷键

    快捷键 功能 ctrl+x 删除行 ctrl+d 复制行 ctrl+n 查找类 ctrl+f 查找文本 ctrl+j 自动代码 ctrl+h 显示类结构图 ctrl+q 显示注释文档 ctrl+p 方 ...

  6. mac android 真机调试

    1.已经安装好Androidstudio或者eclipse 2.下载配置好Android Sdk等 3.将android手机通过USB数据线连接Mac,打开终端输入system_profiler SP ...

  7. java控制流程(二)

    一.循环结构 有一天你的女朋友让你写一百遍我爱你,你是要一行一行的手写出来,还是利用编程的循环结构写出来? while 语法: 表达式返回的为boolean值 while(表达式){ 需要循环的语句 ...

  8. Activiti7 流程部署

    首先先绘制一个流程图 创建bpmn文件 然后绘制好节点 然后修改节点信息 指定负责人 点击背景,修改ID和名称 保存 然后重命名成xml 使用diagram打开 导出png 然后包xml改回bpmn ...

  9. Zabbix Agent报“listener failed: zbx_tcp_listen() fatal error: unable to serve on any address”

    一台服务器的Zabbix Agent升级后,在Zabbix Server发现Zabbix Agent无法访问.检查Zabbix Agent发现服务停止了,启动Zabbix Agent后,发现服务马上又 ...

  10. JAVA实现汉字转拼音

    两个工具包都可以实现:pinyin4j/JPinyin pinyin4j 第一个是使用pinyin4j的jar,此jar对多音字语句的处理不太理想 package edu.ws; import net ...