PHP一些特性引发的安全问题
没人质疑PHP的强大,可是它本身的一些特性也引发了一些安全问题。刚好最近在撸一些ctf题目,就对我见到的PHP存在的问题总结记录一下。
弱类型问题
在PHP中,可以执行这样操作
|
|
它不会验证变量的类型,也可以随时转换变量类型。估计开发者原本是想让程序员更加高效的开发,所以在大量内置函数以及基本结构中使用了很多松散的比较和转换,防止程序中的变量因为程序员的不规范而频繁的报错,然而这却带来了安全问题。
- 比较运算时
|
|
可见PHP在处理比较运算时,不会检查表达式类型,只在恒等比较时才同时检查表达式的值与类型。
- hash比较时
|
|
可以看到在遇到0e\d+
类型的字符串时,会把此类型字符串作为科学计数法来处理,所以左右两边都为0*10^n = 0
。假如md5(str)
为此类型的话,就可以构造md5(str1) == md5(str2)
来绕过一些过滤。当然,这样的字符串有很多,详见PHP处理0e开头md5哈希字符串缺陷。
- 类型强制转换
- 当string遇上int
|
|
当有一个对比参数是整数的时候,会把另外一个参数强制转换为整数。而转换过程中,’1abcd’的转换后的值是1,而‘abcd’是0,说明了intval返回字符串中第一个非数字的字符之前的数字串所代表的整数值。
|
|
- 内置函数的松散
md5()
md5() 函数用于对字符串进行md5加密
1var_dump(md5('1')); //c4ca4238a0b923820dcc509a6f75849b当参数是string时正常加密,但是当你传递一个array时,函数不会报错,只是返回null
1234$a[] =1;$b[] =2;var_dump(md5($a)); //nullvar_dump(md5($a)===md5($b)); //true这样就可以构造任意2个array来绕过md5函数的检测。
in_array()
in_array() 函数检查数组中是否存在某个值
12$array=[0,1,2,'3'];var_dump(in_array('abc', $array)); //true如果第三个参数 strict 的值为 TRUE 则 in_array() 函数还会检查 needle 的类型是否相同。只有加了strict才会对类型进行严格比较, 那么我们再次把整形和字符串进行比较呢?
123var_dump(in_array('abc', $array)); //truevar_dump(in_array('1bc', $array)); //truevar_dump(in_array('4', $array)); //false它遍历了array的每个值,并且作”\==”比较(当设置了strict 用”===”),上面的情况前两个返回的都是true,因为’abc’会转换为0,’1bc’转换为1。那么我们完全就可以很容易的用构造好的int 0或1来绕过检测函数,使它返回为真。
strcmp()
strcmp() 函数比较两个字符串,该函数返回:
1230 //如果两个字符串相等<0 //如果 string1 小于 string2>0 //如果 string1 大于 string2这里的strcmp函数实际上是将两个变量转换成ascii 然后做数学减法,返回一个int的差值。
也就是说键入’a’和’a’进行比较得到的结果就是0
那么如果让$array和‘a’比较呢?
12http://localhost/test.php?a[]=1var_dump(strcmp($_GET[a],'a')); //null也就是说,我们让这个函数出错从而来绕过函数的检查。
浮点数精度问题
在PHP manual中有提到:
以十进制能够精确表示的有理数如 0.1 或 0.7,不能在不丢失一点点精度的情况下转换为二进制的格式。
|
|
为什么会这样的?简单分析一下
0.1
的二进制:
|
|
将这个数再转回十进制:0.10000000149011612
0.7
的二进制:
|
|
将这个数再转回十进制:0.699999988079071
很明显,在转换为二进制的过程中丢失了精度,0.1 + 0.7
的结果是 0.79999998956919
参考: