錯(cuò)誤報(bào)告
對(duì)于 PHP 的安全性來(lái)說(shuō)錯(cuò)誤報(bào)告是一把雙刃劍��。一方面可以提高安全性�,另一方面又有害。
攻擊系統(tǒng)時(shí)經(jīng)常使用的手法就是輸入不正確的數(shù)據(jù)�,然后查看錯(cuò)誤提示的類(lèi)型及上下文。這樣做有利于攻擊者收集服務(wù)器的信息以便尋找弱點(diǎn)��。比如說(shuō)�,如果一個(gè)攻擊者知道了一個(gè)頁(yè)面所基于的表單信息,那么他就會(huì)嘗試修改變量:
示例 #1 用自定義的 HTML 頁(yè)面攻擊變量
<form method="post" action="attacktarget?username=badfoo&password=badfoo">
<input type="hidden" name="username" value="badfoo" />
<input type="hidden" name="password" value="badfoo" />
</form>
通常 PHP
所返回的錯(cuò)誤提示都能幫助開(kāi)發(fā)者調(diào)試程序�,它會(huì)提出哪個(gè)文件的哪些函數(shù)或代碼出錯(cuò)���,并指出錯(cuò)誤發(fā)生的在文件的第幾行�,這些就是
PHP 本身所能給出的信息����。很多 PHP 開(kāi)發(fā)者會(huì)使用
show_source()、highlight_string()
或者 highlight_file()
函數(shù)來(lái)調(diào)試代碼��,但是在正式運(yùn)行的網(wǎng)站中���,這種做法可能會(huì)暴露出隱藏的變量�����、未檢查的語(yǔ)法和其它的可能危及系統(tǒng)安全的信息��。在運(yùn)行一些具有內(nèi)部調(diào)試處理的程序����,或者使用通用調(diào)試技術(shù)是很危險(xiǎn)的。如果讓攻擊者確定了程序是使用了哪種具體的調(diào)試技術(shù)�,他們會(huì)嘗試發(fā)送變量來(lái)打開(kāi)調(diào)試功能:
示例 #2 利用變量打開(kāi)調(diào)式功能
<form method="post" action="attacktarget?errors=Y&showerrors=1&debug=1">
<input type="hidden" name="errors" value="Y" />
<input type="hidden" name="showerrors" value="1" />
<input type="hidden" name="debug" value="1" />
</form>
不管錯(cuò)誤處理機(jī)制如何,可以探測(cè)系統(tǒng)錯(cuò)誤的能力會(huì)給攻擊者提供更多信息��。
比如說(shuō)�����,PHP 的獨(dú)有的錯(cuò)誤提示風(fēng)格可以說(shuō)明系統(tǒng)在運(yùn)行 PHP��。如果攻擊者在尋找一個(gè) .html
為頁(yè)面����,想知道其后臺(tái)的技術(shù)(為了尋找系統(tǒng)弱點(diǎn)),他們就會(huì)把錯(cuò)誤的數(shù)據(jù)提交上去�����,然后就有可以得知系統(tǒng)是基于
PHP 的了。
一個(gè)函數(shù)錯(cuò)誤就可能暴露系統(tǒng)正在使用的數(shù)據(jù)庫(kù)�����,或者為攻擊者提供有關(guān)網(wǎng)頁(yè)�、程序或設(shè)計(jì)方面的有用信息。攻擊者往往會(huì)順藤摸瓜地找到開(kāi)放的數(shù)據(jù)庫(kù)端口����,以及頁(yè)面上某些 bug
或弱點(diǎn)等。比如說(shuō)�����,攻擊者可以一些不正常的數(shù)據(jù)使程序出錯(cuò)�����,來(lái)探測(cè)腳本中認(rèn)證的順序(通過(guò)錯(cuò)誤提示的行號(hào)數(shù)字)以及腳本中其它位置可能泄露的信息�。
一個(gè)文件系統(tǒng)或者 PHP 的錯(cuò)誤就會(huì)暴露 web
服務(wù)器具有什么權(quán)限���,以及文件在服務(wù)器上的組織結(jié)構(gòu)��。開(kāi)發(fā)者自己寫(xiě)的錯(cuò)誤代碼會(huì)加劇此問(wèn)題�,導(dǎo)致泄漏了原本隱藏的信息。
有三個(gè)常用的辦法處理這些問(wèn)題�。第一個(gè)是徹底地檢查所有函數(shù),并嘗試彌補(bǔ)大多數(shù)錯(cuò)誤����。第二個(gè)是對(duì)在線系統(tǒng)徹底關(guān)閉錯(cuò)誤報(bào)告。第三個(gè)是使用
PHP 自定義的錯(cuò)誤處理函數(shù)創(chuàng)建自己的錯(cuò)誤處理機(jī)制�����。根據(jù)不同的安全策略�,三種方法可能都適用。
一個(gè)能提前阻止這個(gè)問(wèn)題發(fā)生的方法就是利用
error_reporting() 來(lái)幫助使代碼更安全并發(fā)現(xiàn)變量使用的危險(xiǎn)之處�。在發(fā)布程序之前,先打開(kāi)
E_ALL 測(cè)試代碼�,可以幫你很快找到變量使用不當(dāng)?shù)牡胤健R坏?zhǔn)備正式發(fā)布��,就應(yīng)該把
error_reporting() 的參數(shù)設(shè)為 0 來(lái)徹底關(guān)閉錯(cuò)誤報(bào)告或者把 php.ini
中的 display_errors 設(shè)為 off
來(lái)關(guān)閉所有的錯(cuò)誤顯示以將代碼隔絕于探測(cè)�。當(dāng)然,如果要遲一些再這樣做�,就不要忘記打開(kāi) ini 文件內(nèi)的
log_errors 選項(xiàng),并通過(guò) error_log 指定用于記錄錯(cuò)誤信息的文件�。
示例 #3 用 E_ALL 來(lái)查找危險(xiǎn)的變量
<?php
if ($username) { // Not initialized or checked before usage
$good_login = 1;
}
if ($good_login == 1) { // If above test fails, not initialized or checked before usage
readfile ("/highly/sensitive/data/index.html");
}
?>