錯誤報告
對于 PHP 的安全性來(lái)說(shuō)錯誤報告是一把雙刃劍�����。一方面可以提高安全性����,另一方面又有害���。
攻擊系統時(shí)經(jīng)常使用的手法就是輸入不正確的數據��,然后查看錯誤提示的類(lèi)型及上下文�����。這樣做有利于攻擊者收集服務(wù)器的信息以便尋找弱點(diǎn)�����。比如說(shuō)��,如果一個(gè)攻擊者知道了一個(gè)頁(yè)面所基于的表單信息�,那么他就會(huì )嘗試修改變量:
示例 #1 用自定義的 HTML 頁(yè)面攻擊變量
<form method="post" action="attacktarget?username=badfoo&password=badfoo">
<input type="hidden" name="username" value="badfoo" />
<input type="hidden" name="password" value="badfoo" />
</form>
通常 PHP
所返回的錯誤提示都能幫助開(kāi)發(fā)者調試程序����,它會(huì )提出哪個(gè)文件的哪些函數或代碼出錯����,并指出錯誤發(fā)生的在文件的第幾行�����,這些就是
PHP 本身所能給出的信息�����。很多 PHP 開(kāi)發(fā)者會(huì )使用
show_source()��、highlight_string()
或者 highlight_file()
函數來(lái)調試代碼���,但是在正式運行的網(wǎng)站中����,這種做法可能會(huì )暴露出隱藏的變量�����、未檢查的語(yǔ)法和其它的可能危及系統安全的信息�。在運行一些具有內部調試處理的程序�����,或者使用通用調試技術(shù)是很危險的����。如果讓攻擊者確定了程序是使用了哪種具體的調試技術(shù)�����,他們會(huì )嘗試發(fā)送變量來(lái)打開(kāi)調試功能:
示例 #2 利用變量打開(kāi)調式功能
<form method="post" action="attacktarget?errors=Y&showerrors=1&debug=1">
<input type="hidden" name="errors" value="Y" />
<input type="hidden" name="showerrors" value="1" />
<input type="hidden" name="debug" value="1" />
</form>
不管錯誤處理機制如何���,可以探測系統錯誤的能力會(huì )給攻擊者提供更多信息�。
比如說(shuō)�,PHP 的獨有的錯誤提示風(fēng)格可以說(shuō)明系統在運行 PHP�����。如果攻擊者在尋找一個(gè) .html
為頁(yè)面�,想知道其后臺的技術(shù)(為了尋找系統弱點(diǎn))�����,他們就會(huì )把錯誤的數據提交上去�����,然后就有可以得知系統是基于
PHP 的了���。
一個(gè)函數錯誤就可能暴露系統正在使用的數據庫���,或者為攻擊者提供有關(guān)網(wǎng)頁(yè)����、程序或設計方面的有用信息����。攻擊者往往會(huì )順藤摸瓜地找到開(kāi)放的數據庫端口�����,以及頁(yè)面上某些 bug
或弱點(diǎn)等����。比如說(shuō)���,攻擊者可以一些不正常的數據使程序出錯�����,來(lái)探測腳本中認證的順序(通過(guò)錯誤提示的行號數字)以及腳本中其它位置可能泄露的信息�����。
一個(gè)文件系統或者 PHP 的錯誤就會(huì )暴露 web
服務(wù)器具有什么權限����,以及文件在服務(wù)器上的組織結構��。開(kāi)發(fā)者自己寫(xiě)的錯誤代碼會(huì )加劇此問(wèn)題���,導致泄漏了原本隱藏的信息�����。
有三個(gè)常用的辦法處理這些問(wèn)題�。第一個(gè)是徹底地檢查所有函數�,并嘗試彌補大多數錯誤����。第二個(gè)是對在線(xiàn)系統徹底關(guān)閉錯誤報告�����。第三個(gè)是使用
PHP 自定義的錯誤處理函數創(chuàng )建自己的錯誤處理機制��。根據不同的安全策略����,三種方法可能都適用��。
一個(gè)能提前阻止這個(gè)問(wèn)題發(fā)生的方法就是利用
error_reporting() 來(lái)幫助使代碼更安全并發(fā)現變量使用的危險之處��。在發(fā)布程序之前���,先打開(kāi)
E_ALL 測試代碼��,可以幫你很快找到變量使用不當的地方�。一旦準備正式發(fā)布����,就應該把
error_reporting() 的參數設為 0 來(lái)徹底關(guān)閉錯誤報告或者把 php.ini
中的 display_errors 設為 off
來(lái)關(guān)閉所有的錯誤顯示以將代碼隔絕于探測�����。當然����,如果要遲一些再這樣做����,就不要忘記打開(kāi) ini 文件內的
log_errors 選項���,并通過(guò) error_log 指定用于記錄錯誤信息的文件��。
示例 #3 用 E_ALL 來(lái)查找危險的變量
<?php
if ($username) { // Not initialized or checked before usage
$good_login = 1;
}
if ($good_login == 1) { // If above test fails, not initialized or checked before usage
readfile ("/highly/sensitive/data/index.html");
}
?>