PHP代碼審計學習_day1

目錄

• 0x00 工具的下載和安裝
• 0x01 MVC架構
• 0x02 常見的PHP框架
• 0x03 功能點定向審計
• 0x04 PHP核心配置php.ini
  • （1）基本配置-語法
  • （2）基本配置-安全模式
  • （3）基本配置-控制變量
  • （4）基本配置-遠程文件
  • （5）基本配置-目錄權限
  • （6）基本配置-錯誤信息

0x00 工具的下載和安裝

RIP、seay、phpstrom等等，自行百度安裝。

---

0x01 MVC架構

MVC是一種使用MVC設計建立Web應用程序的模式。MVC模式同時提供了對HTML、CSS和JavaScript的徹底控制。
Model（模型）是應用程序中用於處理應用程序數據邏輯的部分。表示應用程序核心（好比數據庫記錄列表），一般模型對象負責在數據庫中存取數據。
View（視圖）是應用程序中處理數據顯示的部分。顯示數據（數據庫記錄），一般視圖是依據模型數據建立的。
Controller（控制器）是應用程序中處理用戶交互的部分。處理輸入（寫入數據庫記錄），一般控制器負責從視圖讀取數據，控制用戶輸入，並向模型發送數據。

---

0x02 常見的PHP框架

ThinkPHP：全中文，易上手，對環境配置沒有什麼要求。
Yaf：聽說是世界上最快的PHP框架，用C寫的擴展，安裝的時候須要編譯。
Laravel、Kohana、Codeigniter、Yii
Smyfony：這個框架聽說很強。
doitphp：國內PHP框架的後起之秀。
注：以上順序沒有排名之分。

---

0x03 功能點定向審計

程序安裝、文件上傳、文件管理、登陸驗證、備份恢復、找回密碼。

---

0x04 PHP核心配置php.ini

（1）基本配置-語法

大小寫敏感
directive = value（指令 = 值）
foo = bar ≠ FOO = bar
運算符
|、&、~、！
空值的表達方式
foo = ;
foo = none;
foo = "none";

（2）基本配置-安全模式

安全模式
safe_mode = off
安全模式，用來限制文檔的存取、限制環境變量的存取、控制外部程序的執行。
注：本特性已在PHP5.4.0被移除
這裏舉一個例子，建立一個test.php文件，內容爲

<?php
$cmd = $_GET['id'];
system($cmd);
?>

訪問127.0.0.1/test.php?id=ipconfig，就能夠看到ipconfig回顯的內容。
而後去開啓safe_mode = on，再次訪問，就沒有任何的回顯了。
限制環境變量存取
safe_mode_allowed_env_vars = string
指定PHP程序能夠改變的環境變量的前綴，當這個選項的值爲空時，那麼php能夠改變任何環境變量，如safe_mode_allowed_env_vars = PHP_，當這個選項的值爲空時，那麼php能夠改變任何環境變量。
外部程序執行目錄
safe_mode_exec_dir = "E:\Local Test\WWW"（指定一個網站的主目錄就能夠了，其餘的看狀況而定）
禁用函數
disable_functions = 你想禁用的函數名
爲了更安全的運行PHP，能夠用此指令來禁止一些敏感函數的使用，當你想用該指令禁止一些危險函數時，切記把dl()函數也加到禁止列表，攻擊者能夠利用dl()函數加載自定義的php擴展來突破disable_function。配置禁用函數時可使用逗號分隔函數名。
com組件
com.allow_dcom = false
PHP設置在安全模式下（safe_mode），仍舊容許攻擊者使用COM()函數來建立系統組件來執行任意命令，能夠關閉這個函數來防止出現漏洞。
使用COM()函數須要在PHP.ini中配置extension=php_com_dotnet.dll，若是PHP版本小於5.4.5，則不須要。

（3）基本配置-控制變量

全局變量註冊開關
register_globals = off
默認值爲off，在4.2版本以前是默認開啓的。當爲On時，程序能夠接收來自服務器的各類環境變量，包括表單提交的變量，這是對服務器來說時很是不安全的，因此不能讓他註冊爲全局變量。
爲off時，服務器端經過$_GET['name']來獲取數據。
爲on時，服務器端對POST或GET提交的變量，都會自動使用全局變量來接受值。
魔術引號自動過濾
magic_quotes_gpc = on
注：該特性在PHP5.4.0中被移除
在php.ini中默認關閉。爲on時，會自動將全部的單引號、雙引號、反斜槓和空字符都加上反斜槓來進行轉義，開啓會提升網站的安全性，但也會影響HTTP請求的數據。也可使用addslashes來轉義提交的HTTP請求數據，或是用stripslashes來刪除轉義。

（4）基本配置-遠程文件

是否容許包含遠程文件
allow_url_include = off
爲on時，能夠直接包含遠程文件，若包含的變量爲可控的，則能夠直接控制變量來執行PHP代碼。
是否容許打開遠程文件
allow_url_open = on
容許本地PHP文件經過調用URL重寫來打開和關閉寫權限，默認的封裝協議提供的ftp和http協議來訪問文件。

（5）基本配置-目錄權限

HTTP頭部版本信息
expose_php = off
防止了經過http頭部泄露的php版本信息
文件上傳臨時目錄
upload_tmp_dir =
上傳文件臨時保存的目錄，若是不設置的話，則採用系統的臨時目錄
用戶可訪問目錄
open_basedir = 本身指定目錄
可以控制PHP腳本只能訪問指定的目錄，這樣可以避免PHP腳本訪問不該該訪問的文件，必定程度上限制了phpshell的危害。

（6）基本配置-錯誤信息

內部錯誤選項
display_errors = on
顯示PHP腳本的內部錯誤，網站發佈後建議關閉PHP的錯誤回顯，在調試的時候一般把PHP錯誤顯示打開
錯誤報告級別
error_reporting = E_ALL & ~E_NOTICE
這個設置的做用是將錯誤級別調到最高，顯示全部問題，方便排錯。

---

注：以上的php.ini中的配置，在php.ini中都會有註釋來進行說明，不明白或是不清楚的均可以查看註釋