PHP安全编程：从URL的语义进行攻击

好奇心是很多攻击者的主要动机，语义URL攻击就是一个很好的例子。此类攻击主要包括对URL进行编辑以期发现一些有趣的事情。例如，如果用户chris点击了你的软件中的一个链接并到达了页面http://example.org/private.php?user=chris, 很自然地他可能会试图改变user的值，看看会发生什么。例如，他可能访问http://example.org/private.php?user=rasmus来看一下他是否能看到其他人的信息。虽然对GET数据的操纵只是比对POST数据稍为方便，但它的暴露性决定了它更为频繁的受攻击，特别是对于攻击的新手而言。

大多数的漏洞是由于疏漏而产生的，而不是特别复杂的原因引起的。虽然很多有经验的程序员能轻易地意识到上面所述的对URL的信任所带来的危险，但是常常要到别人指出才恍然大悟。

为了更好地演示语义URL攻击及漏洞是如何被疏忽的，以一个Webmail系统为例，该系统主要功能是用户登录察看他们自己的邮件。任何基于用户登录的系统都需要一个密码找回机制。通常的方法是询问一个攻击者不可能知道的问题（如你的计算机的品牌等，但如果能让用户自己指定问题和答案更佳），如果问题回答正确，则把新的密码发送到注册时指定的邮件地址。

对于一个Webmail系统，可能不会在注册时指定邮件地址，因此正确回答问题的用户会被提示提供一个邮件地址（在向该邮件地址发送新密码的同时，也可以收集备用邮件地址信息）。下面的表单即用于询问一个新的邮件地址，同时他的帐户名称存在表单的一个隐藏字段中：

<form action="reset.php" method="GET">
  <input type="hidden" name="user" value="chris" />
  <p>Please specify the email address where you want your new password sent:</p>
  <input type="text" name="email" /><br />
  <input type="submit" value="Send Password" />
</form>

可以看出，接收脚本reset.php会得到所有信息，包括重置哪个帐号的密码、并给出将新密码发送到哪一个邮件地址。

如果一个用户能看到上面的表单（在回答正确问题后），你有理由认为他是chris帐号的合法拥有者。如果他提供了chris@example.org作为备用邮件地址，在提交后他将进入下面的URL：

http://example.org/reset.php?user=chris&email=chris%40example.org

该URL出现在浏览器栏中，所以任何一位进行到这一步的用户都能够方便地看出其中的user和mail变量的作用。当意思到这一点后，这位用户就想到php@example.org是一个非常酷的地址，于是他就会访问下面链接进行尝试：

http://example.org/reset.php?user=php&email=chris%40example.org

如果reset.php信任了用户提供的这些信息，这就是一个语义URL攻击漏洞。在此情况下，系统将会为php帐号产生一个新密码并发送至chris@example.org，这样chris成功地窃取了php帐号。

如果使用session跟踪，可以很方便地避免上述情况的发生：

<?php
 
  session_start();
 
  $clean = array();
  $email_pattern = '/^[^@\s<&>]+@([-a-z0-9]+\.)+[a-z]{2,}$/i';
 
  if (preg_match($email_pattern, $_POST['email']))
  {
    $clean['email'] = $_POST['email'];
    $user = $_SESSION['user'];
    $new_password = md5(uniqid(rand(), TRUE));
 
    if ($_SESSION['verified'])
    {
      /* Update Password */
 
      mail($clean['email'], 'Your New Password', $new_password);
    }
  }
 
?>

尽管上例省略了一些细节（如更详细的email信息或一个合理的密码），但它示范了对用户提供的帐户不加以信任，同时更重要的是使用session变量为保存用户是否正确回答了问题($_SESSION['verified'])，以及正确回答问题的用户($_SESSION['user'])。正是这种不信任的做法是防止你的应用产生漏洞的关键。

这个实例并不是完全虚构的。它是从2003年5月发现的Microsoft Passport的漏洞中得到的灵感。

延伸阅读

此文章所在专题列表如下：

PHP安全编程：register_globals的安全性
PHP安全编程：不要让不相关的人看到报错信息
PHP安全编程：网站安全设计的一些原则
PHP安全编程：可用性与数据跟踪
PHP安全编程：过滤用户输入
PHP安全编程：对输出要进行转义
PHP安全编程：表单与数据安全
PHP安全编程：从URL的语义进行攻击
PHP安全编程：文件上传攻击的防御
PHP安全编程：跨站脚本攻击的防御
PHP安全编程：跨站请求伪造CSRF的防御
PHP安全编程：关于表单欺骗提交
PHP安全编程：HTTP请求欺骗
PHP安全编程：不要暴露数据库访问权限
PHP安全编程：防止SQL注入
PHP安全编程：cookie暴露导致session被劫持
PHP安全编程：session固定获取合法会话
PHP安全编程：session劫持的防御
PHP安全编程：防止源代码的暴露
PHP安全编程：留心后门URL
PHP安全编程：阻止文件名被操纵
PHP安全编程：文件包含的代码注入攻击
PHP安全编程：文件目录猜测漏洞
PHP安全编程：打开远程文件的风险
PHP安全编程：shell命令注入
PHP安全编程：暴力破解攻击
PHP安全编程：密码嗅探与重播攻击
PHP安全编程：记住登录状态的安全做法
PHP安全编程：共享主机的源码安全
PHP安全编程：更优的会话数据安全
PHP安全编程：会话数据注入
PHP安全编程：主机文件目录浏览
PHP安全编程：PHP的安全模式