SQL注入漏洞
- 攻击方式
- 在权限比较大的情况下,通过SQL注入直接写入webshell,或者直接执行系统命令
- 在权限比较小的情况下,通过注入获得管理员的密码等信息。或修改数据库内容进行一些钓鱼或者其他间接利用
挖掘
1.普通注入
- 最容易利用的sql注入漏洞
- 有int型和string型,string型需要单或双引号闭合
- 常见关键字:union, select from, update, delete, insert等
2. 编码注入
- 宽字节注入
- PHP连接MySQL时,设置
set character_set_client=gbk 会导致一个编码转换的注入问题
- 注入参数里带
%df%27即可把程序中过滤的\吃掉
- 解决方法:
- 在执行查询之前先执行
SET NAMES 'gbk',character_set_client=binary
- 使用
mysql_set_charset('gbk')设置编码,使用mysql_real_escape_string()函数被参数过滤
- 使用pdo方式来禁用prepared ststements的仿真效果
- 二次urldecode注入
- 如果某处使用了urldecode或rawurldecode函数,则会导致二次解码生成单引号而引发注入
防范
gpc/rutime 魔术引导
- 数据污染通常有两种方式
- 一种是应用被动接受参数,类似GET,POST
- 一种是主动获取参数,类似读取远程页面或者文件内容
magic_quotes_gpc(魔术引号自动过滤)和magic_quotes_runtime(魔术引号自动过滤)- 区别后者只对从数据库或者文件中获取的数据进行过滤
过滤函数和类
- 两种使用场景
- 一种是程序入口统一过滤
- 一种是在程序进行SQL语句运行之前使用
- addslashes函数
- 过滤的值范围和GPC一样
- 只是简单的检查参数的函数
- 参数必须是string型,可绕过
- mysql_[real_]escape_string函数
- intval等字符转换
- 将变量转换成int类型
- 利用参数类型白名单的方式来防止漏洞
XSS漏洞
挖掘
反射型
- 通过外部输入然后直接在浏览器端触发
- 可以通过带有参数的输出函数,根据输出函数对输出内容回溯输入参数
存储型
- 先利用代码保存在数据库或文件中,当web程序读取利用代码并输出在页面上是触发
防范
'
"
<>
\
:
&
#
CSRF漏洞
挖掘
防范
<?php
sessin_start();
function set_token(){
$_SESSION['token'] = md5(time()+rand(1,1000));
}
function check_token(){
if(isset($_POST['token'])&&_POST['token'] === $_$SESSION['token'])
{
return true;
}
else{
return false;
}
}
if(isset($_SESSION['token'])&&check_token()){
echo"success";
}
else{
echo"failed";
}
set_token();
?>
<form method="post">
<input type="hidden" name="token" value="<?=$_SESSION['token']?>">
<input type="submit"/>
</form>
