[web安全] 变量覆盖漏洞
2015-05-25 17:36
316 查看
一、全局变量覆盖
当register_global=ON时,变量来源可能是各个不同的地方,比如页面的表单,Cookie等。
但是当register_globals=ON时,提交请求URL:http://www.a.com/test.php?auth=1,变量$auth将自动得到赋值。得到的结果为
Register_globals:1
private!
小记:如果上面的代码中,已经对变量$auth赋了初始值,比如$auth=0,那么即使在URL中有/test.php?auth=1,也不会将变量覆盖,也就是说不会打印出private!
通过$GLOBALS获取的变量,也可能导致变量覆盖。
而当尝试注入“GLOBALS[a]”以覆盖全局变量时(http://www.a.com/test1.php?GLOBALS[a]=1&b=2),则可以成功控制变量“$a”的值。这是因为unset()默认只会销毁局部变量,要销毁全局变量必须使用$GLOBALS。
而在register_globals=OFF时,则无法覆盖到全局变量。
小记:register_globals的意思是注册为全局变量,所以当On的时候,传递过来的值会被直接注册为全局变量而直接使用,当为OFF的时候,就需要到特定的数组中去得到它。unset用于释放给定的变量
[b]二、extract()变量覆盖
界面上会打印出private!
安全的做法是确定register_globals=OFF后,在调用extract()时使用EXTR_SKIP保证已有变量不会被覆盖。
小记:PHP extract() 函数从数组中把变量导入到当前的符号表中。对于数组中的每个元素,键名用于变量名,键值用于变量值。
三、遍历初始化变量
常见的一些以遍历的方式释放变量的代码,可能会导致变量覆盖。
小记:在代码审计时需要注意类似“$$k”的变量赋值方式有可能覆盖已有的变量,从而导致一些不可控制的结果。
四、import_request_variables变量覆盖
import_request_variables('G')指定导入GET请求中的变量,从而导致变量覆盖。
小记:import_request_variables — 将 GET/POST/Cookie 变量导入到全局作用域中。如果你禁止了 register_globals,但又想用到一些全局变量,那么此函数就很有用。
五、parse_str()变量覆盖
与parse_str()类似的函数还有mb_parse_str()
小记:parse_str — 将字符串解析成多个变量,如果参数str是URL传递入的查询字符串(query string),则将它解析为变量并设置到当前作用域。
当register_global=ON时,变量来源可能是各个不同的地方,比如页面的表单,Cookie等。
<?php
echo "Register_globals: ".(int)ini_get("register_globals")."<br/>";
if ($auth){
echo "private!";
}
?>当register_globals=OFF时,这段代码不会出问题。但是当register_globals=ON时,提交请求URL:http://www.a.com/test.php?auth=1,变量$auth将自动得到赋值。得到的结果为
Register_globals:1
private!
小记:如果上面的代码中,已经对变量$auth赋了初始值,比如$auth=0,那么即使在URL中有/test.php?auth=1,也不会将变量覆盖,也就是说不会打印出private!
通过$GLOBALS获取的变量,也可能导致变量覆盖。
<?php
echo "Register_globals:".(int)ini_get("register_globals")."<br/>";
if (ini_get('register_globals')) foreach($_REQUEST as $k=>$v) unset(${$k});
print $a;
print $_GET;
?>变量$a未初始化,在register_globals=ON时,再尝试控制“$a”的值(http://www.a.com/test1.php?a=1&b=2),会因为这段代码而出错。而当尝试注入“GLOBALS[a]”以覆盖全局变量时(http://www.a.com/test1.php?GLOBALS[a]=1&b=2),则可以成功控制变量“$a”的值。这是因为unset()默认只会销毁局部变量,要销毁全局变量必须使用$GLOBALS。
而在register_globals=OFF时,则无法覆盖到全局变量。
小记:register_globals的意思是注册为全局变量,所以当On的时候,传递过来的值会被直接注册为全局变量而直接使用,当为OFF的时候,就需要到特定的数组中去得到它。unset用于释放给定的变量
[b]二、extract()变量覆盖
<?php
$auth = '0';
extract($_GET);
if($auth==1){
echo "private!";
}else{
echo "public!";
}
?>假设用户构造以下链接:http://www.a.com/test1.php?auth=1界面上会打印出private!
安全的做法是确定register_globals=OFF后,在调用extract()时使用EXTR_SKIP保证已有变量不会被覆盖。
小记:PHP extract() 函数从数组中把变量导入到当前的符号表中。对于数组中的每个元素,键名用于变量名,键值用于变量值。
三、遍历初始化变量
常见的一些以遍历的方式释放变量的代码,可能会导致变量覆盖。
<?
$chs = '';
if($_POST && $charset != 'utf-8'){
$chs = new Chinese('UTF-8', $charset);
foreach($_POST as $key => $value){
$$key = $chs->Convert($value);
}
unset($chs);
}
?>若提交参数chs,则可覆盖变量"$chs"的值。小记:在代码审计时需要注意类似“$$k”的变量赋值方式有可能覆盖已有的变量,从而导致一些不可控制的结果。
四、import_request_variables变量覆盖
<?php
$auth = '0';
import_request_variables('G');
if($auth == 1){
echo "private!";
}else{
echo "public!";
}
?>当用户输入http://www.a.com/test1.php?auth=1时,网页上会输出private!import_request_variables('G')指定导入GET请求中的变量,从而导致变量覆盖。
小记:import_request_variables — 将 GET/POST/Cookie 变量导入到全局作用域中。如果你禁止了 register_globals,但又想用到一些全局变量,那么此函数就很有用。
五、parse_str()变量覆盖
//var.php?var=new $var='init'; parse_str($_SERVER['QUERY_STRING']); print $var;
与parse_str()类似的函数还有mb_parse_str()
小记:parse_str — 将字符串解析成多个变量,如果参数str是URL传递入的查询字符串(query string),则将它解析为变量并设置到当前作用域。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- DedeCms 漏洞为什么能覆盖数据库配置变量
- php之变量覆盖漏洞讲解
- 织梦(DEDE)CMS V5.3 覆盖任意变量导致远程包含漏洞
- 齐博1.0老版本的变量覆盖与命令执行漏洞。
- dede源码详细分析之--全局变量覆盖漏洞的防御
- DEDECMS全局变量覆盖漏洞科普
- boblog任意变量覆盖漏洞(二)
- 齐博CMS变量覆盖导致sql注入漏洞分析
- php变量覆盖漏洞
- dede源码详细分析之--全局变量覆盖漏洞的防御
- DedeCms全局变量覆盖漏洞
- phpcms的phpcms_auth导致的任意变量覆盖漏洞、本地文件包含漏洞和任意文件下载漏洞
- DedeCMSV53任意变量覆盖漏洞
- 变量覆盖漏洞
- 【代码审计】变量覆盖漏洞详解
- [fortify] 变量覆盖漏洞
- ctf变量覆盖漏洞:
- dede源码详细分析之--全局变量覆盖漏洞的防御
- 变量覆盖漏洞
- php变量覆盖漏洞