这个PHP代码中是否存在任何安全漏洞?

时间:2010-03-29 20:57:08

标签: php security hash sql-injection exploit

我只是有一个网站需要管理,但我不太确定前一个人写的代码。我正在粘贴下面的登录程序,您能看看并告诉我是否存在任何安全漏洞?乍一看,似乎可以通过SQL注入或操纵cookie以及?m =参数进入。


define ( 'CURRENT_TIME', time ()); / / Current time. 
define ( 'ONLINE_TIME_MIN', (CURRENT_TIME - BOTNET_TIMEOUT)); / / Minimum time for the status of "Online". 
define ( 'DEFAULT_LANGUAGE', 'en'); / / Default language. 
define ( 'THEME_PATH', 'theme'); / / folder for the theme. 

/ / HTTP requests. 
define ( 'QUERY_SCRIPT', basename ($ _SERVER [ 'PHP_SELF'])); 
define ( 'QUERY_SCRIPT_HTML', QUERY_SCRIPT); 
define ( 'QUERY_VAR_MODULE', 'm'); / / variable contains the current module. 
define ( 'QUERY_STRING_BLANK', QUERY_SCRIPT. '? m ='); / / An empty query string. 
define ( 'QUERY_STRING_BLANK_HTML', QUERY_SCRIPT_HTML. '? m ='); / / Empty query string in HTML. 
define ( 'CP_HTTP_ROOT', str_replace ( '\ \', '/', (! empty ($ _SERVER [ 'SCRIPT_NAME'])? dirname ($ _SERVER [ 'SCRIPT_NAME']):'/'))); / / root of CP. 

/ / The session cookie. 
define ( 'COOKIE_USER', 'p'); / / Username in the cookies. 
define ( 'COOKIE_PASS', 'u'); / / user password in the cookies. 
define ( 'COOKIE_LIVETIME', CURRENT_TIME + 2592000) / / Lifetime cookies. 
define ( 'COOKIE_SESSION', 'ref'); / / variable to store the session. 
define ( 'SESSION_LIVETIME', CURRENT_TIME + 1300) / / Lifetime of the session. 

////////////////////////////////////////////////// ///////////////////////////// 
/ / Initialize. 
////////////////////////////////////////////////// ///////////////////////////// 

/ / Connect to the database. 
if (! ConnectToDB ()) die (mysql_error_ex ()); 

/ / Connecting topic. 
require_once (THEME_PATH. '/ index.php'); 

/ / Manage login. 
if (! empty ($ _GET [QUERY_VAR_MODULE])) 
( 
  / / Login form. 
  if (strcmp ($ _GET [QUERY_VAR_MODULE], 'login') === 0) 
  ( 
    UnlockSessionAndDestroyAllCokies (); 

    if (isset ($ _POST [ 'user']) & & isset ($ _POST [ 'pass'])) 
    ( 
      $ user = $ _POST [ 'user']; 
      $ pass = md5 ($ _POST [ 'pass']); 

      / / Check login. 
      if (@ mysql_query ( "SELECT id FROM cp_users WHERE name = '". addslashes ($ user). "' AND pass = '". addslashes ($ pass). "' AND flag_enabled = '1 'LIMIT 1") & & @ mysql_affected_rows () == 1) 
      ( 
        if (isset ($ _POST [ 'remember']) & & $ _POST [ 'remember'] == 1) 
        ( 
          setcookie (COOKIE_USER, md5 ($ user), COOKIE_LIVETIME, CP_HTTP_ROOT); 
          setcookie (COOKIE_PASS, $ pass, COOKIE_LIVETIME, CP_HTTP_ROOT); 
        ) 

        LockSession (); 
        $ _SESSION [ 'Name'] = $ user; 
        $ _SESSION [ 'Pass'] = $ pass; 
        / / UnlockSession (); 

        header ( 'Location:'. QUERY_STRING_BLANK. 'home'); 
      ) 
      else ShowLoginForm (true); 
      die (); 
    ) 

    ShowLoginForm (false); 
    die (); 
  ) 

  / / Output 
  if (strcmp ($ _GET [ 'm'], 'logout') === 0) 
  ( 
    UnlockSessionAndDestroyAllCokies (); 
    header ( 'Location:'. QUERY_STRING_BLANK. 'login'); 
    die (); 
  ) 
) 

////////////////////////////////////////////////// ///////////////////////////// 
/ / Check the login data. 
////////////////////////////////////////////////// ///////////////////////////// 

$ logined = 0, / / flag means, we zalogininy. 

/ / Log in session. 
LockSession (); 
if (! empty ($ _SESSION [ 'name']) & &! empty ($ _SESSION [ 'pass'])) 
( 
  if (($ r = @ mysql_query ( "SELECT * FROM cp_users WHERE name = '". addslashes ($ _SESSION [' name'])."' AND pass = ' ". addslashes ($ _SESSION [' pass']). " 'AND flag_enabled = '1' LIMIT 1 ")))$ logined = @ mysql_affected_rows (); 
) 
/ / Login through cookies. 
if ($ logined! == 1 & &! empty ($ _COOKIE [COOKIE_USER]) & &! empty ($ _COOKIE [COOKIE_PASS])) 
( 
  if (($ r = @ mysql_query ( "SELECT * FROM cp_users WHERE MD5 (name )='". addslashes ($ _COOKIE [COOKIE_USER ])."' AND pass = '". addslashes ($ _COOKIE [COOKIE_PASS]). " 'AND flag_enabled = '1' LIMIT 1 ")))$ logined = @ mysql_affected_rows (); 
) 
/ / Unable to login. 
if ($ logined! == 1) 
( 
  UnlockSessionAndDestroyAllCokies (); 
  header ( 'Location:'. QUERY_STRING_BLANK. 'login'); 
  die (); 
) 

/ / Get the user data. 
$ _USER_DATA = @ Mysql_fetch_assoc ($ r); 
if ($ _USER_DATA === false) die (mysql_error_ex ()); 
$ _SESSION [ 'Name'] = $ _USER_DATA [ 'name']; 
$ _SESSION [ 'Pass'] = $ _USER_DATA [ 'pass']; 

/ / Connecting language. 
if (@ strlen ($ _USER_DATA [ 'language'])! = 2 | |! SafePath ($ _USER_DATA [ 'language']) | |! file_exists ( 'system / lng .'.$_ USER_DATA [' language '].' . php'))$_ USER_DATA [ 'language'] = DEFAULT_LANGUAGE; 
require_once ( 'system / lng .'.$_ USER_DATA [' language'].'. php '); 

UnlockSession ();

2 个答案:

答案 0 :(得分:19)

是的,此代码中存在一些漏洞。

这可能是一个问题:

define ( 'QUERY_SCRIPT', basename ($ _SERVER [ 'PHP_SELF']));

PHP_SELF很糟糕,因为攻击者可以控制此变量。例如,当您使用此网址PHP_SELF访问脚本时,请尝试打印http://localhost/index.php/test/junk/hacked。尽可能避免使用此变量,如果使用它,请确保对其进行消毒。使用此变量时,通常会看到XSS突然出现。

第一个漏洞:

setcookie (COOKIE_USER, md5 ($ user), COOKIE_LIVETIME, CP_HTTP_ROOT); 
setcookie (COOKIE_PASS, $ pass, COOKIE_LIVETIME, CP_HTTP_ROOT);

这是一个相当严重的漏洞。如果攻击者在您的应用程序中有SQL注入,那么他们可以立即获取md5哈希和用户名并立即登录,而不必破坏md5()哈希。就像您以明文形式存储密码一样。

这个会话漏洞是双重的,它也是一个“不朽的会话”,会话ID必须始终是大的随机生成的值到期。如果他们没有过期,那么他们就更容易暴力。

您应该从不重新发明轮子,在应用程序的最开始时调用session_start(),这将自动生成一个到期的安全会话ID。然后使用类似$_SESSION['user']的会话变量来跟踪浏览器是否实际登录。

第二个漏洞:

$ pass = md5 ($ _POST [ 'pass']);

md5()被证明是不安全的,因为故意产生了碰撞。 md5()应永远用于密码。您应该使用sha2系列的成员,sha-256或sha-512是很好的选择。

第三个漏洞:

CSRF

我没有看到任何针对您的身份验证逻辑的CSRF保护。我怀疑您的应用程序中的所有请求都容易受到CSRF的攻击。

答案 1 :(得分:1)

接受的答案在一些事情上遗漏了很多错误。以下是我在代码中看到的漏洞:

define('QUERY_SCRIPT', basename($_SERVER['PHP_SELF']));

正如其他地方所说,这可能不仅包含脚本路径。请改用$_SERVER['SCRIPT_NAME']__FILE__

define('CP_HTTP_ROOT', ...

此常量用于设置脚本路径的cookie路径。这不是不安全的,但用户需要单独登录到每个脚本。而是使用会话(下面讨论)并为您的应用设置一个基本路径。

UnlockSessionAndDestroyAllCokies()

我不确切知道这是做什么的,但听起来不太好。 只需在脚本中提前为每个请求启动会话。检查会话中的现有用户信息,以了解他们是否已登录。

$pass = md5($_POST['pass']);

密码应该与每个散列具有唯一的salt,并且最好使用更好的散列算法。 这些天(PHP 5.5+)您应该使用password_hashpassword_verify来处理密码哈希详细信息。 

mysql_query("SELECT id FROM cp_users WHERE name = '". addslashes($user)...

这是一个老问题,但今天不再支持mysql_ PHP函数。使用mysqli或PDO。 使用不受支持的库会让您打开未修补的漏洞addslashes不是针对SQL注入的完美保护。 使用预准备语句,或者至少使用库的字符串转义函数。

if (isset($_POST['remember']) && $_POST['remember'] == 1) 
( 
    setcookie(COOKIE_USER, md5($user), COOKIE_LIVETIME, CP_HTTP_ROOT);
    setcookie(COOKIE_PASS, $pass, COOKIE_LIVETIME, CP_HTTP_ROOT); 
)

这是最大的问题。 Cookie正在存储用户凭据。您将使用响应发送回哈希用户名和哈希密码作为cookie值。这些可以很容易地被第三方阅读和使用。由于此脚本使用简单的哈希,因此彩虹表会让某人查找许多用户密码。但由于响应中包含“安全”凭据,因此攻击者除了将其传递给任何其他登录请求之外,不需要执行任何操作。这不是“记住”用户的正确方法,也不是必需的。

用户与请求的连接应仅在会话中处理。这是他们的目的。请求和响应包含带有随机标识符的cookie。 用户详细信息仅保留在服务器上并链接到此标识符。 (旁注:有一个错误,这个块用括号而不是括号括起来。)

$_SESSION['Pass'] = $pass;

现在用户的密码存储在两个地方:数据库和会话存储。如果会话存储在数据库外部(并且默认情况下PHP将它们存储在磁盘上),那么现在有两种方法可以尝试窃取用户凭据。

if ($logined !== 1 && !empty($_COOKIE[COOKIE_USER]) ...
  if (($r = @mysql_query("SELECT * FROM cp_users WHERE MD5(name)='". addslashes($_COOKIE [COOKIE_USER ])."' AND pass = '". addslashes($_COOKIE [COOKIE_PASS])..

攻击者现在可以通过简单地在请求中使用用户名和密码的md5哈希传递cookie头来尝试登录,该哈希是在之前的响应中传递给他们的。登录表单应该是获取用户凭据并将其登录的唯一位置。此表单(以及所有其他表单)应使用CSRF令牌。

UnlockSession();

我再一次不知道这是做什么的,但是在脚本结束时,会话应该只写入存储。

相关问题
最新问题