Взлом и защита PHP-скриптов

Давайте-ка, обсудим, как можно ломать PHP3-скрипты.

Меня часто об этом просят. Итак, первый способ - подмена переменной. Делается это предельно просто через браузер. Допустим, нодо, что бы переменная root была равна 1. Набиваем строку http://www.xxx.com/admin.php3?$root=1 и у нас переменная root делается равной единице. Но тут есть один маленький напряг. Подменить ее таким образом можно только в том случае, если переменная передается от скрипта скрипту, а не определяется внутри самого скрипта.

Следующий метод обхода авторизации заключается в следующем: большинство скриптов проверяют Ты это или не Ты, по переменной $HTTP_REFERER. Она содержит URL, откуда Ты сюда пришел.Его можно подменить без особых проблем только что описанным методом. Если пользуешься таким методом, то надо написать в строке браузера $HTTP_REFERER=адрес_с_которого_прошла_авторизация. Но на самом деле переменных типа этой есть огромная куча.

Давай посмотрим как ломать все из них, которые могут помочь при авторизации. HTTP_VIA, HTTP_USER_AGENT, HTTP_X_FORWARDED_FOR, HTTP_REFERER - ломаются обычной подменой через браузер по HTTP. REMOTE_ADDR - для подмены можно использовать прокси сервер. REMOTE_PORT - вероятность того, что защияются этим, мала, но если все таки есть, то надо будет покопаться в настройках своих портов и поменять их. Или просто поставить смотрелку, использующую другой порт. HTTP_COOKIE_VARS, HTTP_GET_VARS, HTTP_POST_VARS - тоже ломаются через браузер. PHP_AUTH_USER, PHP_AUTH_PW - эти скрипты перехватывают для захвата пароля. Вот эти ломануть - уже проблема. Как их ломать сам не знаю. Есть подозрение, что методом подделки HTML-страничек с соответствующим JavaScript-кодом для вывода их на экран. Но это только подозрение. Если кто знает получше, напиши как. Хотя если используется SSL, то перехватить можно просто при использовании прокси сервера, зарегестрированого в компании, выдающей сертификаты. Тогда Тебе все само на монитор выползет.

Следующий способ относится только к людям, хорошо знающим PHP. Фишка такая: "root"!="root". Но strcmp ("root" , "root")==true. Так что делай выводы. Следующий способ заключается в том, что размер отсылаемой инфы не проверяется PHP3 (так же как и в Perl'е). Если отсылаемая инфа сохраняется на сервере (например, ГК, форум, регистрация и т. д.), то может возникнуть ошибка типа Out of Memory. Но это только в том случае, если максимальный размер сообщения не задан вручную. Есть еще возможность вставки PHP3-скриптов в такие поля как textarea или <input type=text>. Если на экране это будет парсится, то выполнются введенные тобой команды. Примерно такой способ я использовал в статье "Взлом московского провайдера". Только там был Perl.

Откровенно говоря, из методов, которые я привел тут, реально могут помочь только метод подмена перменной и последний. Просто теоретически возможен каждый, но я еще не встречал такой защиты. На самом деле способов гораздо больше и я продолжу про них рассказывать в следующих номерах. У многих программистов, подписывающихся на рассылку возникнет вопрос: а как же тогда защищаться? Вот именно им и посвящается второй раздел статьи.

Самый надежный метод - использовать $HTTP_REFERER. Что бы его не подменили надо использовать тактику перехода от одного скрипта другому. То есть логин и пароль отправляются в скрипт login.php3, который после их проверки переводит Тебя на 1.php3, на котором стоит редирект в enter.php3. $HTTP_REFERER должен равняться 1.php3. Узнать на какую страницу идет редирект невозможно, если только у него нет шелла с доступом для чтения с папке с CGI-скриптами. Но если у него есть шелл, вряд ли он будет ломать этот CGI-скрипт, ведь там уже открывается необъятное поле для эксперементов с файлами настроек.

Второй способ защиты более полезен и надежен. Если логин и пароль правильный, то из файла считываются права, которыми обладает этот пользователь под этим логином и паролем в виде цифры. Потом по придуманному тобой алгоритму логин пароль и права достуа шифруфруются и заносятся в $ID. Далее этот ID передается из скрипта в скрипты, в которых происходит дешифровка и вытягивание цифры с правами. Этот способ более надежен, неломаем напрямую и разграничением прав доступа. Если Ты применишь этот метод, будь уверен, что Тебя не взломают, если только Ты туда не насажаешь других дырок. Но Ты их не насажаешь, Ты ведь человек умный! Удачи Тебе в твоем нелегком деле, сисадмин!

Автор: HELLer
Источник: http://kiev-security.org.ua