web代码安全边缘性问题-Read.pptVIP

[web代码安全边缘性问题] 5up3rh3i 主题：web代码安全边缘性问题 　　本文挡主要探讨一些web代码安全里比较隐秘，容易被程序员忽视的问题． 主要内容： 二次攻击[Second attack] 类型1：通过文件系统函数漏洞转换 类型2：通过SQL注射漏洞转换 类型3：通过正则表达式中转变量 类型4：通过编码/解码中转变量 数组变量的魅力 Code与系统 Code与http协议 漏洞挖掘 二次攻击[Second attack] 什么是二次攻击 　　　　二次攻击攻击者提交的恶意代码不是直接通过一个变量提交个漏洞函数，而是通过变量转化或者中转，最终提交到漏洞函数 二次攻击的特点 常常存在漏洞类型的转换 常常存在变量中转 类型 类型1：通过文件系统函数漏洞转换 类型2：通过SQL注射漏洞转换 类型3：通过正则表达式中转变量 类型4：通过编码/解码中转变量 挖掘二次攻击漏洞 类型1：文件系统函数漏洞转换 配置变量的定义一般保持在文件里，当改文件被删除等原因没有被调用，而导致改变量可以任意提交转化为其他漏洞。 CODE： 上面代码vul1.php里的变量$a没有过滤导致利用../删除容易文件。Vul2.php里的$include变量在config.php里有定义，所以整体上是没有办法利用的。 如果我们利用vul1.php删除config.php，那么vul2.php里的$include没有指定，在register_globals =On下可以包含其他任意文件。 Unlike漏洞转化为include漏洞 [注意：include与require的区别] 实例： XOOPS = _xoopsOption[nocommon]_bug 类型2：SQL注射漏洞转换 Web程序数据存取过程： 漏洞转换过程： SQL注射漏洞转换 实例： Phpwind 2.0.2和3.31e 权限提升漏洞 Punbbs Path Disclosure Phpbb_vul[user_sig_bbcode_uid] Phpwind 2.0.2和3.31e 权限提升漏洞 profile.php 里变量$proicon过滤不严： $userdb[icon]=$proicon.|.$proownportait[0].|.(int)$proownportait[1].|.(int)$proownportait[2]; …………… $db-update(UPDATE pw_members SET password =$userdb[password],email=$userdb[email],honor=$prohonor,publicmail=$userdb[publicmail],icon=$userdb[icon],gender=$userdb[gender],signature=$userdb[signature],introduce=$userdb[introduce],oicq=$userdb[oicq],icq=$userdb[icq],yahoo=$userdb[yahoo],msn=$userdb[msn],site=$userdb[site],location=$userdb[location],bday=$userdb[bday],style=$tpskin,datefm=$date_f,timedf=$timedf,t_num=$t_num,p_num=$p_num,receivemail=$userdb[receivemail],signchange=$userdb[signchange] WHERE uid=$winduid); Punbbs Path Disclosure register.php: 行190 Escape()在include\dblayer\mysql.php ： 00157: function escape($str) 00158: { 00159: if (function_exists(mysql_real_escape_string)) 00160: return mysql_real_escape_string($str, $this-link_id); 00161: else 00162: return mysql_escape_string($str); 00163: } $pun_user[]定义在：\upload\include\functions.php : 00045: $result = $db-query(SELECT u.*, g.*, o.logged, o.idle FROM .$db-prefix.use