作者techcrpa (我還能說什你已經不愛我)
看板PHP
標題[請益] 解決Blind SQL injection的問題
時間Thu May 16 05:45:47 2019
大家好
我原本一直以為要解決SQL injection就是把參數都做過一番處理
把可能造成問題的字元字串都清除掉就沒事了
怎知最近收到資安報告有3個程式都說有Blind SQL injection的高風險存在
這3個程式共同點就是都沒有任何參數(也就是$_GET[]是empty、QUERY_STRING是'')
報告中的測試語法是:
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.21 (KHTML,
like Gecko) Chrome/41.0.2228.0 Safari/537.21
X-Forwarded-For: 0'XOR(if(now()=sysdate(),sleep(0),0))XOR'Z
X-Requested-With: XMLHttpRequest
Connection: keep-alive
Accept: */*
Accept-Encoding: gzip,deflate
Host: xxx.xxx.xxx.xxx
坦白說....我看不太懂
是指駭客可以用XFF寫入這串語法造成程式無法執行嗎@@
但目前查了一下相關資料似乎大部分
先不論在XFF自行輸入這串語法透過HTTP會造成什麼樣的作用
但如果這是問題來源
我目前規劃的解決方式有幾種,但不曉得到底方向正不正確,所以想請教大家:
方案1:
先檢查 $_SERVER["HTTP_X_FORWARDED_FOR"] 看有沒有亂七八糟的字串
理論上應該都是IP(也就是必須一定是 [數值.數值.數值.數值] 的格式)
如果不是就一律封殺
不曉得會不會有什麼副作用反而連不該封殺的也封殺了?
還有Header裡面除了XFF是不是其他地方也必須有此防範?
方案2:
檢查 QUERY_STRING 看是不是空白或者 $_GET 是不是empty
不是的話也一律封殺
(雖然這樣做好像沒有意義 因為原本這些程式就完全沒有處理參數?)
以上問題還請大家指教和指正
也謝謝大家耐心看完
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.124.101.142
※ 文章網址: https://webptt.com/m.aspx?n=bbs/PHP/M.1557956749.A.975.html
※ 編輯: techcrpa (140.124.101.142), 05/16/2019 06:15:11
1F:→ crossdunk: 怎麼不用pdo就好 05/16 10:58
2F:推 tecnniv: pdo是不是唯一解啊@@ 哭哭 05/16 12:52
3F:→ MOONRAKER: 別的lib如果有prepared statement也可以啦 05/16 13:48
4F:推 crossdunk: 你是用分身回推文嗎= = 05/16 14:05
5F:推 tecnniv: 電腦和手機用不同嘛XD 所以不用去處理header的內容分析 05/16 16:25
6F:→ tecnniv: 只要先處理好prepared statements就好了(通過弱掃)? 05/16 16:25
7F:推 tecnniv: 不對啊? 我還是不太懂 像這種寫進Header裡面的語法 跟資 05/16 16:53
8F:→ tecnniv: 料庫的關聯是? 為什麼透過pdo和prepared statements來存 05/16 16:54
9F:→ tecnniv: 取資料庫就同樣能夠處理這樣狀況呢? 05/16 16:54
10F:推 a0960330: 就算有prepare statements,弱掃工具會知道? 05/16 19:07
11F:推 st1009: 方案一莫忘IPv6 05/16 19:33
感謝st大!!!!
我的確忘了這件事@@
我修改完會去辨識是IPv4或IPv6這兩種回傳的IP了(還真的是有IPv6的來源...)
12F:推 Crow22312: 查看看有沒有把 IP 紀錄到資料庫的程式片段吧 05/17 02:27
13F:→ Crow22312: 網路上取得使用者 IP 的範例十個有九個會依序巡過包含 05/17 02:29
14F:→ Crow22312: 這個 header 的, 如果有又沒擋就像他掃的一般中標啦 05/17 02:29
15F:推 tecnniv: 有的 就是做了這紀錄然後抓到XFF不少不是ip而是OR XOR跟 05/17 03:23
16F:→ tecnniv: 一些詭異邏輯判斷式 05/17 03:23
17F:推 Crow22312: 所以這個 header 跟 sql injection 的關聯就確定了吧 05/17 04:03
18F:→ Crow22312: 只要有機會被玩填字遊戲就算是漏洞, 邪惡者總是有辦法 05/17 04:05
19F:→ Crow22312: 出奇不意的塞東西, 特殊條件下 (字集) 也是有機會躲過 05/17 04:06
20F:→ Crow22312: preg_replace 之類的土製篩選手法.. 所以最理想還是 05/17 04:06
21F:→ Crow22312: 交給 pdo 去處理.. (當然 prepar statement 下錯依然.. 05/17 04:07
22F:推 Crow22312: 夜半腦子不清楚更正一下.. 字集的漏洞是針對 pdo 的, 05/17 04:22
23F:→ Crow22312: regexp 的則是另有一堆, 像是這篇裡的 [0x01] 05/17 04:23
謝謝Crow大
這網頁超詳盡 這樣我完全明白了
目前已經都改成pdo的prepared statements了
謝謝大家的幫忙
※ 編輯: techcrpa (61.216.122.103), 05/20/2019 17:24:09