国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

PHP 開發(fā)者如何做代碼審查?

Achilles / 1456人閱讀

摘要:我們做代碼審計之前選好工具也是十分必要的。一審計工具介紹代碼審計系統(tǒng)功能介紹是一款基于開發(fā)的針對代碼安全審計的軟件。自定義審計規(guī)則。黑盒敏感信息泄露一鍵審計。挖掘這種漏洞主要是檢查是否使用了,搜索和。

GitChat 作者:湯青松
原文:PHP 開發(fā)者如何做代碼審查?
關(guān)注微信公眾號:「GitChat 技術(shù)雜談」 一本正經(jīng)的講技術(shù)

【不要錯過文末彩蛋】

前言

工欲善其事,必先利其器。我們做代碼審計之前選好工具也是十分必要的。下面我給大家介紹兩款代碼審計中比較好用的工具。

一、審計工具介紹 PHP 代碼審計系統(tǒng)— RIPS

功能介紹

RIPS是一款基于PHP開發(fā)的針對PHP代碼安全審計的軟件。

另外,它也是一款開源軟件,由國外安全研究員Johannes Dahse開發(fā),程序只有450KB,目前能下載到的最新版是0.55。

在寫這段文字之前筆者特意讀過它的源碼,它最大的亮點在于調(diào)用了PHP內(nèi)置解析器接口token_get_all

并且使用Parser做了語法分析,實現(xiàn)了跨文件的變量及函數(shù)追蹤,掃描結(jié)果中非常直觀地展示了漏洞形成及變量傳遞過程,誤報率非常低。

RIPS能夠發(fā)現(xiàn)SQL注入、XSS跨站、文件包含、代碼執(zhí)行、文件讀取等多種漏洞,支持多種樣式的代碼高亮。比較有意思的是,它還支持自動生成漏洞利用。

安裝方法

下載地址:https://jaist.dl.sourceforge.....

解壓到任意一個PHP的運行目錄

在瀏覽器輸入對應(yīng)網(wǎng)址,可以通過下圖看到有一個path 在里面填寫你要分析的項目文件路徑,點擊 scan.

界面截圖

seay 源代碼審計系統(tǒng)

功能介紹

這些是seay 第一個版本的部分功能,現(xiàn)在最新版本是2.1。

傻瓜化的自動審計 。

支持php代碼調(diào)試 。

函數(shù)/變量定位 。

生成審計報告。

自定義審計規(guī)則 。

mysql數(shù)據(jù)庫管理 。

黑盒敏感信息泄露一鍵審計 。

支持正則匹配調(diào)試 。

編輯保存文件 。

POST數(shù)據(jù)包提交 。

安裝方法

安裝環(huán)境需要 .NET2.0以上版本環(huán)境才能運行,下載安裝包之后點擊下一步就安裝好了,非常的簡便。

安裝包下載地址:http://enkj.jb51.net:81/20140...

操作界面的截圖

二、代碼審計實戰(zhàn)

前言

通過剛才安裝的兩個審計工具運行后我們可以發(fā)現(xiàn),會分析出很多隱藏的漏洞,那下面我們看看其中的SQL注入、XSS、CSRF產(chǎn)生的原因,通過原因來分析如何去審計代碼。

SQL注入

前言

SQL注入漏洞一直是web系統(tǒng)漏洞中占比非常大的一種漏洞,下面我們來看看SQL注入的幾種方式。

SQL 注入漏洞分類

從利用方式角度可以分為兩種類型:常規(guī)注入、寬字節(jié)注入。

常規(guī)注入方式,通常沒有任何過濾,直接把參數(shù)存放到了SQL語句當中,如下圖。

非常容易發(fā)現(xiàn),現(xiàn)在開發(fā)者一般都會做一些過濾,比如使用addslashes(),但是過濾有時候也不一定好使。

編碼注入方式

寬字節(jié)注入,這個是怎么回事呢?

在實際環(huán)境中程序員一般不會寫上面類似的代碼,一般都會用addslashes()等過濾函數(shù)對從web傳遞過來的參數(shù)進行過濾。不過有句話叫做,道高一尺魔高一丈,我們看看白帽子是怎么突破的。用PHP連接MySQL的時候,當設(shè)置 character_set_client=gbk時候會導(dǎo)致一個編碼漏洞。我們知道addslashes() 會把參數(shù) 1" 轉(zhuǎn)換成 1",而我們提交參數(shù) 1%df" 時候會轉(zhuǎn)成 1縗’,那我們輸入 1%df" or 1=1%23時候,會被轉(zhuǎn)換成 1縗’ or 1=1#"。

簡單來說%df’會被過濾函數(shù)轉(zhuǎn)義為%df’ ,%df’ = %df%5c%27 在使用gbk編碼的時候會認為%df%5c是一個寬字節(jié)%df%5c%27=縗’,這樣就會產(chǎn)生注入。

那如何防御這個寬字節(jié)呢?我希望大家開發(fā)網(wǎng)站盡量使用UTF8編碼格式,如果轉(zhuǎn)換麻煩,最安全的方法就是使用PDO預(yù)處理。挖掘這種漏洞主要是檢查是否使用了gbk,搜索guanjianc character_set_client=gbk 和mysql_set_chatset("gbk")

二次urldecode注入,這中方式也是因為使用了urldecode不當所引起的漏洞。

我們剛才知道了 addslashes()函數(shù)可以防止注入,他會在(")、(")、()前面加上反斜杠來轉(zhuǎn)義。

那我們假設(shè)我們開啟了GPC,我們提交了一個參數(shù),/test.php?uid=1%2527,因為參數(shù)中沒有單引號,所以第一次解碼會變成uid=1%27,%25解碼出來就是%,

這時候程序里如果再去使用urldecode來解碼,就會把%27解碼成單引號("),最終的結(jié)果就是uid=1".

我們現(xiàn)在知道了原有是因為urldecode引起的,我們可以通過編輯器的搜索urldecode和rawurldecode找到二次url漏洞。

從漏洞類型區(qū)分可以分為三種類型:

可顯

  
 攻擊者可以直接在當前界面內(nèi)容中獲取想要獲得的內(nèi)容。

報錯

數(shù)據(jù)庫查詢返回結(jié)果并沒有在頁面中顯示,但是應(yīng)用程序?qū)?shù)據(jù)庫報錯信息打印到了頁面中。

所以攻擊者可以構(gòu)造數(shù)據(jù)庫報錯語句,從報錯信息中獲取想要獲得的內(nèi)容,所以我建議在數(shù)據(jù)庫類中設(shè)置不拋出錯誤信息。

盲注

 數(shù)據(jù)庫查詢結(jié)果無法從直觀頁面中獲取攻擊者通過使用數(shù)據(jù)庫邏輯或使數(shù)據(jù)庫庫執(zhí)行延時等方法獲取想要獲得的內(nèi)容。

SQL 注入漏洞挖掘方法

針對上面提到的利用漏洞方法,總結(jié)了以下的挖掘方法:

參數(shù)接收位置,檢查是否有沒過濾直接使用 $_GET、$_POST、$_COOKIE參數(shù)的。

SQL語句檢查,搜索關(guān)鍵詞 select update insert 等SQL語句關(guān)鍵處,檢查SQL語句的參數(shù)是否可以被控制。

寬字節(jié)注入,如果網(wǎng)站使用的GBK編碼情況下,搜索guanjianc character_set_client=gbkmysql_set_chatset("gbk") 就行。

二次urldecode注入,少部分情況,gpc可以通過編輯器的搜索urldecode和rawurldecode找到二次url漏洞。

SQL 注入漏洞防范方法

雖然SQL注入漏洞非常多,但是防范起來卻挺簡單的,下面介紹幾個過濾函數(shù)和類:

gpc/rutime 魔術(shù)引號

過濾函數(shù)和類

addslashes

mysql_real_escape_string

intval

PDO 預(yù)處理

XSS跨站

前言

XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的html代碼會被執(zhí)行,從而達到惡意的特殊目的。

XSS屬于被動式的攻擊,因為其被動且不好利用,所以許多人常呼略其危害性。在WEB2.0時代,強調(diào)的是互動,使得用戶輸入信息的機會大增,在這個情況下,我們作為開發(fā)者,在開發(fā)的時候,要提高警惕。

xss 漏洞分類

反射型,危害小,一般

反射型XSS原理:就是通過給別人發(fā)送帶有惡意腳本代碼參數(shù)的URL,當URL地址被打開時,特定的代碼參數(shù)會被HTML解析,執(zhí)行,如此就可以獲取用戶的COOIKE,進而盜號登陸。比如hack甲構(gòu)造好修改密碼的URL并把密碼修改成123,但是修改密碼只有在登陸方乙才能修改,乙在登陸的情況下點擊甲構(gòu)造好的URL將直接在不知情的情況下修改密碼。

特點是:非持久化,必須用戶點擊帶有特定參數(shù)的鏈接才能引起。

存儲型,危害大,影響時間長

存儲型XSS原理,假設(shè)你打開了一篇正常的文章頁面,下面有評論功能。這個時候你去評論了一下,在文本框中輸入了一些JavaScript代碼,提交之后,你刷新這個頁面后發(fā)現(xiàn)剛剛提交的代碼又被原封不動的返回來并且執(zhí)行了。

這個時候你會想,我要寫一段JavaScript代碼獲取cookie信息,然后通過ajax發(fā)送到自己的服務(wù)器去。構(gòu)造好代碼后你把鏈接發(fā)給其他的朋友,或者網(wǎng)站的管理員,他們打開JavaScript代碼就執(zhí)行了,你服務(wù)器就接收到了sessionid,你就可以拿到他的用戶權(quán)限了。

3.dom型,特殊的一種

dom型xss是因為JavaScript執(zhí)行了dom操作,所造成的xss漏洞,具體如下圖。可以看到雖然經(jīng)過html轉(zhuǎn)義了,但是這塊代碼在返回到html中,又被JavaScript作為dom元素操作。那當我輸入?name= 的時候依然會存在XSS漏洞。

xss 漏洞挖掘方法

根據(jù)上面的一些特點,可以總結(jié)出幾個分析出幾個挖掘方法:

數(shù)據(jù)接收位置,檢查 $_GET、$_POST、$_COOKIE是否經(jīng)過轉(zhuǎn)義。

常見的反射型XSS搜索這種類似位置發(fā)現(xiàn)次數(shù)較多。

而存儲型在文章,評論出現(xiàn)比較多。

XSS 漏洞防范方法

轉(zhuǎn)義html實體,有兩種方式:在入口和出口,我建議是在入口處轉(zhuǎn)義,防止出口位置取出來的時候忘記轉(zhuǎn)義,如果已經(jīng)在入口轉(zhuǎn)義了,出口位置就不用再次轉(zhuǎn)義。

在富文本編輯器中,經(jīng)常會用到一些元素的屬性,比如上圖的onerror,那我們還需對元素的屬性建立黑白名單。

httpOnly 即使存在xss漏洞,可以把危害大大降低。

CSRF漏洞

CSRF 漏洞介紹

CSRF(Cross-site request forgery)跨站請求偽造,通常縮寫為CSRF或者XSRF,是一種對網(wǎng)站的惡意利用。聽起來像跨站腳本(XSS),但它與XSS非常不同,XSS利用站點內(nèi)的信任用戶。

而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網(wǎng)站。與XSS攻擊相比,CSRF攻擊往往不大流行(因此對其進行防范的資源也相當稀少)和難以防范,所以被認為比XSS更具危險性。

csrf主要用來做越權(quán)操作,而且csrf一直沒有被關(guān)注起來,所以很多程序現(xiàn)在也沒有相關(guān)的防范措施。

CSRF 案例

我們來看下面的一段代碼,這個表單當被訪問到的時候,用戶就退出了登錄。假設(shè)有一個轉(zhuǎn)賬的表單,只需要填寫對方的用戶名,和金額就可以,那如果我提前把URL構(gòu)造好,發(fā)給受害者,當點擊后,錢就被轉(zhuǎn)走了。或者我把這個URL放到我的網(wǎng)頁中,通過 ,當其他人打開我的網(wǎng)址后,就中招了。

CSRF漏洞挖掘方法

通過上面的描述,我們知道了漏洞的原有,那我們審計的時候可以檢查處理表單有沒有以下判斷。

是否有驗證token。

是否有圖片驗證碼。

是否有refe信息。

如果三個判斷都沒有,那么就存在了CSRF漏洞,CSRF不僅限于GET請求,POST請求同樣存在。

CSRF 漏洞防范方法

圖片驗證碼,這個想必大家都知道,但是用戶體驗并不好,我們可以看下面的一些處理方法。

token驗證。

token驗證方法如下,每次訪問表單頁的時候,生成一個不可預(yù)測的token存放在服務(wù)器session中,另外一份放頁面中,提交表單的時候需要把這個token帶過去,接收表單的時候先驗證一下token是否合法。

Referer信息驗證

大多數(shù)情況下,瀏覽器訪問一個地址,其中header頭里面會包含Referer信息,里面存儲了請求是從哪里發(fā)起的。

如果HTTP頭里包含有Referer的時候,我們可以區(qū)分請求是同域下還是跨站發(fā)起的,所以我們也可以通過判斷有問題的請求是否是同域下發(fā)起的來防御CSRF攻擊。

Referer驗證的時候有幾點需要注意,如果判斷Referer是否包含*.XXX.com,如果有子域名有漏洞,會存在繞過的可能。

如果判斷的條件的是Referer中是否包含字符‘xxx.com’ 那攻擊者在他目錄中建立一個xxx.com文件夾同樣存在繞過的可能。如果可以最合適的判斷是,直接判斷是否等于當前域名。

三、常規(guī)漏洞的防范方法 taint PHP 安全擴展

功能介紹

Taint 可以用來檢測隱藏的XSS code, SQL注入, Shell注入等漏洞,并且這些漏洞如果要用靜態(tài)分析工具去排查, 將會非常困難, 我們來看下面這張圖:

安裝方法

下載taint: http://pecl.php.net/package/t...

配置

/usr/local/php/bin/phpize
./configure --with-php-config=/usr/local/php/bin/php-config
make && make install

更加詳細的可以參考 http://www.cnblogs.com/linzhe...

應(yīng)用場景

開發(fā)團隊要求每個人都做到非常的安全比較難,但是把taint安裝在開發(fā)環(huán)境,特別適合,一看到warning信息一般都回去改。

ngx_lua_waf

功能介紹

防止sql注入,本地包含,部分溢出,fuzzing測試,xss,SSRF等web攻擊。

防止svn/備份之類文件泄漏。

防止ApacheBench之類壓力測試工具的攻擊。

屏蔽常見的掃描黑客工具,掃描器。

屏蔽異常的網(wǎng)絡(luò)請求。

屏蔽圖片附件類目錄php執(zhí)行權(quán)限。

防止webshell上傳。

安裝方法

安裝依賴: luajitngx_devel_kitnginx_lua_module

安裝nginxngx_lua_waf

nginx.conf里的http添加配置

詳細安裝文檔

效果圖

總結(jié)

這次分享的內(nèi)容代碼審計處理常規(guī)漏洞部分挑選了三種類型,還有其他的一些一次也講不完。代碼身材除了像剛才的的參數(shù)檢查之外,還有邏輯性漏洞審查,下次如果有時間會再做一次邏輯漏洞審計分享。


實錄:《湯青松:PHP 代碼審查常規(guī)漏洞實戰(zhàn)解析》


彩蛋

重磅 Chat 分享:

《高效學(xué)習(xí),快速變現(xiàn):不走彎路的五大學(xué)習(xí)策略》

分享人:
一名會在 B 站直播寫代碼,會玩雜耍球、彈 Ukulele、極限健身、跑步、寫段子、畫畫、翻譯、寫作、演講、培訓(xùn)的程序員。喜歡用編程實現(xiàn)自己的想法,在 Android 市場上賺過錢,有多次創(chuàng)業(yè)經(jīng)歷。擅長學(xué)習(xí),習(xí)慣養(yǎng)成,時間管理。身體力行地影響他人做出積極的改變!目前就職于 ThoughtWorks,致力于傳播快樂高效的編程理念。業(yè)余創(chuàng)立軟件匠藝社區(qū) CodingStyle.cn,組織超過30場技術(shù)活動。

Chat簡介:
說到學(xué)習(xí)呀,真是頭大喲:碎片化,沒有較長的連續(xù)時間來學(xué)習(xí)難專注,捧起書,手機卻在召喚:來呀,快活呀~ 反正有,大把時光~做不到,看了很多書,生活中卻做不到然并卵,學(xué)了方法和工具,找不到使用場景效率低,學(xué)習(xí)速度跟不上知識產(chǎn)生的速度記不牢,學(xué)習(xí)速度趕不上遺忘速度在這個知識泛濫、跨界競爭的年代,學(xué)習(xí)能力才是核心競爭力。你想想,過去一周,有沒有哪一件工作是不需要學(xué)習(xí)就能完成的?盡管如此重要,大部分人卻沒研究過學(xué)習(xí)這件事,以為上下班路上打開「得到」聽本書,就是碎片時間終身學(xué)習(xí)者了。

我是程序員,咨詢師,培訓(xùn)師,這幾個角色都要求我必須學(xué)得又快又好。本場 Chat 將分析學(xué)習(xí)的「趨勢,原則,策略」,幫你站在更高的視角看待學(xué)習(xí),從「內(nèi)容,動機,交互,收益,資源」五方面制定策略,解決學(xué)習(xí)痛點,助你成為高效學(xué)習(xí)者!

想要免費參與本場 Chat ?很簡單,「GitChat技術(shù)雜談」公眾號后臺回復(fù)「高效學(xué)習(xí)」

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/25887.html

相關(guān)文章

  • 第2章:軟件構(gòu)建的過程和工具 2.2軟件構(gòu)建的過程,系統(tǒng)和工具

    摘要:建模語言建模語言是可用于表達信息或知識或系統(tǒng)的任何人造語言,該結(jié)構(gòu)由一組一致的規(guī)則定義,目標是可視化,推理,驗證和傳達系統(tǒng)設(shè)計。將這些文件安排到不同的地方稱為源代碼樹。源代碼樹的結(jié)構(gòu)通常反映了軟件的體系結(jié)構(gòu)。 大綱 軟件構(gòu)建的一般過程: 編程/重構(gòu) 審查和靜態(tài)代碼分析 調(diào)試(傾倒和記錄)和測試 動態(tài)代碼分析/分析 軟件構(gòu)建的狹義過程(Build): 構(gòu)建系統(tǒng):組件和過程 構(gòu)建變體...

    godiscoder 評論0 收藏0
  • 作為開發(fā)人員,這四類Code Review方法你都知道嗎?

    摘要:類型瞬時的代碼審查第一種類型是瞬時代碼審查,它發(fā)生在結(jié)對編程的情景中。相同的專業(yè)水平考慮進行結(jié)對編程的另一個重要方面,是一起工作時,兩個開發(fā)者的專業(yè)水平。讓一個初級開發(fā)者和一個高級開發(fā)者進行結(jié)對編程,效果并不好。 本文翻譯自:https://dzone.com/articles/4-... 轉(zhuǎn)載請注明出處:葡萄城官網(wǎng),葡萄城為開發(fā)者提供專業(yè)的開發(fā)工具、解決方案和服務(wù),賦能開發(fā)者。 沒...

    姘擱『 評論0 收藏0
  • PHP 標準規(guī)范

    摘要:標準規(guī)范簡介是的簡寫,由組織制定的規(guī)范,是開發(fā)的實踐標準。具體標準有有了統(tǒng)一編碼風格規(guī)范,更有利于查看和學(xué)習(xí)各個框架或類庫,不不需要每次都適應(yīng)新的編碼風格。同時在開發(fā)團隊內(nèi)部使用統(tǒng)一的編碼規(guī)范更有利于代碼審查版本控制團隊內(nèi)部交流。 PHP 標準規(guī)范 PSR PSR 簡介 PSR 是 PHP Standard Recommendations 的簡寫,由 PHP FIG 組織制定的 PHP...

    FuisonDesign 評論0 收藏0
  • 以太坊將成為新互聯(lián)網(wǎng)的支柱

    摘要:以太坊將成為新互聯(lián)網(wǎng)的支柱,我為什么這么說正在以太坊上構(gòu)建我們的第層,而不是其他區(qū)塊鏈平臺這就是原因。以太坊不會犧牲去中心化的原則而下沉權(quán)力在區(qū)塊鏈方面,有一項稱為可擴展性三難的基本法則。 以太坊將成為新互聯(lián)網(wǎng)的支柱,我為什么這么說?Loom Network正在以太坊上構(gòu)建我們的第2層,而不是其他區(qū)塊鏈平臺——這就是原因。 每個月都有其他的公司發(fā)布白皮書,聲稱已經(jīng)解決了以太坊所面臨的可...

    liuhh 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<