命令注入攻击
php中可以使用下列5个函数来执行外部的应用程序或函数
system、exec、passthru、shell_exec、“(与shell_exec功能相同)
函数原型
string system(string command, int &return_var)
        command 要执行的命令 
        return_var 存放执行命令的执行后的状态值
string exec (string command, array &output, int &return_var)
        command 要执行的命令 
        output 获得执行命令输出的每一行字符串 
        return_var 存放执行命令后的状态值
void passthru (string command, int &return_var)
        command 要执行的命令 
        return_var 存放执行命令后的状态值
string shell_exec (string command)
        command 要执行的命令
漏洞实例
例1:
//ex1.php
我们提交http://www.sectop.com/ex1.php?dir= cat /etc/passwd
提交以后，命令变成了 system(ls -al cat /etc/passwd);
eval注入攻击
eval函数将输入的字符串参数当作php程序代码来执行
函数原型:
mixed eval(string code_str) //eval注入一般发生在攻击者能控制输入的字符串的时候
//ex2.php
当我们提交 http://www.sectop.com/ex2.php?arg=phpinfo();漏洞就产生了
动态函数
程序员原意是想动态调用a和b函数，那我们提交http://www.sectop.com/ex.php?func=phpinfo 漏洞产生
防范方法
1、尽量不要执行外部命令
2、使用自定义函数或函数库来替代外部命令的功能
3、使用escapeshellarg函数来处理命令参数
4、使用safe_mode_exec_dir指定可执行文件的路径
esacpeshellarg函数会将任何引起参数或命令结束的字符转义，单引号“’”，替换成“\’”，双引号“”，替换成“\”，分号“;”替换成“\;”
用safe_mode_exec_dir指定可执行文件的路径，可以把会使用的命令提前放入此路径内
safe_mode = on
safe_mode_exec_di r= /usr/local/php/bin/
客户端脚本植入
客户端脚本植入(script insertion)，是指将可以执行的脚本插入到表单、图片、动画或超链接文字等对象内。当用户打开这些对象后，攻击者所植入的脚本就会被执行，进而开始攻击。
可以被用作脚本植入的html标签一般包括以下几种:
1、
客户端脚本植入的攻击步骤
1、攻击者注册普通用户后登陆网站
2、打开留言页面，插入攻击的js代码
3、其他用户登录网站（包括管理员），浏览此留言的内容
4、隐藏在留言内容中的js代码被执行，攻击成功
实例
数据库
create table `postmessage` (
  `id` int(11) not null auto_increment,
  `subject` varchar(60) not null default ”,
  `name` varchar(40) not null default ”,
  `email` varchar(25) not null default ”,
  `question` mediumtext not null,
  `postdate` datetime not null default ’0000-00-00 00:00:00′,
  primary key  (`id`)
) engine=myisam  default charset=gb2312 comment=’使用者的留言’ auto_increment=69 ;
//add.php 插入留言
//list.php 留言列表
//show.php 显示留言
提交下图的留言
浏览此留言的时候会执行js脚本
插入 无限弹框
插入 跳转钓鱼页面
或者使用其他自行构造的js代码进行攻击
防范的方法
一般使用htmlspecialchars函数来将特殊字符转换成html编码
函数原型
string htmlspecialchars (string string, int quote_style, string charset)
string 是要编码的字符串 
quote_style 可选,值可为ent_compat、ent_quotes、ent_noquotes，默认值ent_compat，表示只转换双引号不转换单引号。ent_quotes，表示双引号和单引号都要转换。ent_noquotes，表示双引号和单引号都不转换 
charset 可选,表示使用的字符集
函数会将下列特殊字符转换成html编码:
& —-> &
—->
‘ —-> ‘
> —-> >
把show.php的第98行改成
然后再查看插入js的漏洞页面
xss跨站脚本攻击
xss(cross site scripting)，意为跨网站脚本攻击，为了和样式表css(cascading style sheet)区别，缩写为xss
跨站脚本主要被攻击者利用来读取网站用户的cookies或者其他个人数据，一旦攻击者得到这些数据，那么他就可以伪装成此用户来登录网站，获得此用户的权限。
跨站脚本攻击的一般步骤:
1、攻击者以某种方式发送xss的http链接给目标用户
2、目标用户登录此网站，在登陆期间打开了攻击者发送的xss链接
3、网站执行了此xss攻击脚本
4、目标用户页面跳转到攻击者的网站，攻击者取得了目标用户的信息
5、攻击者使用目标用户的信息登录网站，完成攻击
当有存在跨站漏洞的程序出现的时候，攻击者可以构造类似 http://www.sectop.com/search.php?key=> ，诱骗用户点击后，可以获取用户cookies值
防范方法:
利用htmlspecialchars函数将特殊字符转换成html编码
函数原型
string htmlspecialchars (string string, int quote_style, string charset)
        string 是要编码的字符串 
        quote_style 可选,值可为ent_compat、ent_quotes、ent_noquotes，默认值ent_compat，表示只转换双引号不转换单引号。ent_quotes，表示双引号和单引号都要转换。ent_noquotes，表示双引号和单引号都不转换 
        charset 可选,表示使用的字符集
函数会将下列特殊字符转换成html编码:
& —-> &
—->
‘ —-> ‘
> —-> >
$_server[php_self]变量的跨站
在某个表单中，如果提交参数给自己，会用这样的语句
……
$_server[php_self]变量的值为当前页面名称
例:
http://www.sectop.com/get.php
get.php中上述的表单
那么我们提交
http://www.sectop.com/get.php/>>
那么表单变成
method=post>
跨站脚本被插进去了
防御方法还是使用htmlspecialchars过滤输出的变量，或者提交给自身文件的表单使用
这样直接避免了$_server[php_self]变量被跨站  
sql注入攻击
sql注入攻击(sql injection)，是攻击者在表单中提交精心构造的sql语句，改动原来的sql语句，如果web程序没有对提交的数据经过检查，那么就会造成sql注入攻击。
sql注入攻击的一般步骤:
1、攻击者访问有sql注入漏洞的站点，寻找注入点
2、攻击者构造注入语句，注入语句和程序中的sql语句结合生成新的sql语句
3、新的sql语句被提交到数据库中执行 处理
4、数据库执行了新的sql语句，引发sql注入攻击
实例
数据库
create table `postmessage` (
`id` int(11) not null auto_increment,
`subject` varchar(60) not null default ”,
`name` varchar(40) not null default ”,
`email` varchar(25) not null default ”,
`question` mediumtext not null,
`postdate` datetime not null default ’0000-00-00 00:00:00′,
primary key  (`id`)
) engine=myisam  default charset=gb2312 comment=’运用者的留言’ auto_increment=69 ;
grant all privileges on ch3.* to ‘sectop’@localhost identified by ’123456′;
//add.php 插入留言
//list.php 留言列表
//show.php 显示留言
页面 http://www.netsos.com.cn/show.php?id=71 可能存在注入点，我们来测试
http://www.netsos.com.cn/show.php?id=71 and 1=1
返回页面
提交 
一次查询到记录，一次没有，我们来看看源码
//show.php 12-15行
// 执行mysql查询语句
$query = select * from postmessage where id = .$_get[id];
$result = mysql_query($query)
or die(执行ysql查询语句失败： . mysql_error());
参数id传递进来后，和前面的字符串结合的sql语句放入数据库执行 查询
提交 and 1=1，语句变成select * from postmessage where id = 71 and 1=1 这语句前值后值都为真，and以后也为真，返回查询到的数据
提交 and 1=2，语句变成select * from postmessage where id = 71 and 1=2 这语句前值为真，后值为假，and以后为假，查询不到任何数据
正常的sql查询，经过我们构造的语句之后，形成了sql注入攻击。通过这个注入点，我们还可以进一步拿到权限，比如说运用 union读取管理密码，读取数据库信息，或者用mysql的load_file，into outfile等函数进一步渗透。
防范方法
整型参数:
运用 intval函数将数据转换成整数
函数原型
int intval(mixed var, int base)
        var是要转换成整形的变量
        base，可选，是基础数，默认是10
浮点型参数:
运用 floatval或doubleval函数分别转换单精度和双精度浮点型参数
函数原型
int floatval(mixed var)
        var是要转换的变量
　    int doubleval(mixed var)
        var是要转换的变量
字符型参数:
运用 addslashes函数来将单引号“’”转换成“\’”，双引号“”转换成“\”，反斜杠“\”转换成“\\”，null字符加上反斜杠“\”
函数原型
string addslashes (string str)
        str是要检查的字符串
那么刚才出现的代码漏洞，我们可以这样修补
// 执行mysql查询语句
$query = select * from postmessage where id = .intval($_get[id]);
$result = mysql_query($query)
or die(执行ysql查询语句失败： . mysql_error());
如果是字符型，先判断magic_quotes_gpc能无法 为on,当不为on的时候运用 addslashes转义特殊字符
if(get_magic_quotes_gpc())
{
$var = $_get[var];
}
else
{
$var = addslashes($_get[var]);
}
再次测试，漏洞已经修补
垮网站伪造请求
csrf(cross site request forgeries)，意为跨网站请求伪造，也有写为xsrf。攻击者伪造目标用户的http请求，然后此请求发送到有csrf漏洞的网站，网站执行此请求后，引发跨站请求伪造攻击。攻击者利用隐蔽的http连接，让目标用户在不注意的情况下单击这个链接，由于是用户自己点击的，而他又是合法用户拥有合法权限，所以目标用户能够在网站内执行特定的http链接，从而达到攻击者的目的。
例如:某个购物网站购买商品时，采用http://www.shop.com/buy.php?item=watch&num=1，item参数确定要购买什么物品，num参数确定要购买数量，如果攻击者以隐藏的方式发送给目标用户链接
，那么如果目标用户不小心访问以后，购买的数量就成了1000个
实例
随缘网络php留言板v1.0
任意删除留言
//delbook.php 此页面用于删除留言
当我们具有admin权限，提交http://localhost/manage/delbook.php?id=2 时，就会删除id为2的留言
利用方法:
我们使用普通用户留言（源代码方式），内容为
插入4张图片链接分别删除4个id留言，然后我们返回首页浏览看，没有什么变化。。图片显示不了 
现在我们再用管理员账号登陆后，来刷新首页，会发现留言就剩一条，其他在图片链接中指定的id号的留言，全部都被删除。
攻击者在留言中插入隐藏的图片链接，此链接具有删除留言的作用，而攻击者自己访问这些图片链接的时候，是不具有权限的，所以看不到任何效果，但是当管理员登陆后，查看此留言，就会执行隐藏的链接，而他的权限又是足够大的，从而这些留言就被删除了
修改管理员密码
//pass.php
if($_get[act])
{
$username=$_post[username];
$sh=$_post[sh];
$gg=$_post[gg];
$title=$_post[title];
$copyright=$_post[copyright].
设计制作：厦门随缘网络科技;
$password=md5($_post[password]);
if(empty($_post[password]))
{
$sql=update gly set username=’.$username.’,sh=.$sh.,gg=’.$gg.’,title=’.$title.’,copyright=’.$copyright.’ where id=1;
}
else
{
$sql=update gly set username=’.$username.’,password=’.$password.’,sh=.$sh.,gg=’.$gg.’,title=’.$title.’,copyright=’.$copyright.’ where id=1;
}
mysql_query($sql);
mysql_close($conn);
echo ;
}
这个文件用于修改管理密码和网站设置的一些信息，我们可以直接构造如下表单:
欢迎您安装使用随缘网络php留言板v1.0(带审核功能)！
随缘网络php留言本v1.0  版权所有：厦门随缘网络科技 2005-2009
承接网站建设及系统定制 提供优惠主机域名
存为attack.html，放到自己网站上http://www.sectop.com/attack.html，此页面访问后会自动向目标程序的pass.php提交参数，用户名修改为root，密码修改为root，然后我们去留言板发一条留言，隐藏这个链接，管理访问以后，他的用户名和密码全部修改成了root 防范方法
防范csrf要比防范其他攻击更加困难，因为csrf的http请求虽然是攻击者伪造的，但是却是由目标用户发出的，一般常见的防范方法有下面几种:
1、检查网页的来源
2、检查内置的隐藏变量
3、使用post，不要使用get
检查网页来源
在//pass.php头部加入以下红色字体代码，验证数据提交
if($_get[act])
{
if(isset($_server[http_referer]))
{
        $serverhost = $_server[server_name];
        $strurl   = str_replace(http://,,$_server[http_referer]);  
        $strdomain = explode(/,$strurl);           
        $sourcehost    = $strdomain[0];              
        if(strncmp($sourcehost, $serverhost, strlen($serverhost)))
        {
                unset($_post);
                echo ;
        }
}
$username=$_post[username];
$sh=$_post[sh];
$gg=$_post[gg];
$title=$_post[title];
$copyright=$_post[copyright].
设计制作：厦门随缘网络科技;
$password=md5($_post[password]);
if(empty($_post[password]))
{
$sql=update gly set username=’.$username.’,sh=.$sh.,gg=’.$gg.’,title=’.$title.’,copyright=’.$copyright.’ where id=1;
}
else
{
$sql=update gly set username=’.$username.’,password=’.$password.’,sh=.$sh.,gg=’.$gg.’,title=’.$title.’,copyright=’.$copyright.’ where id=1;
}
mysql_query($sql);
mysql_close($conn);
echo ;
}
检查内置隐藏变量
我们在表单中内置一个隐藏变量和一个session变量，然后检查这个隐藏变量和session变量是否相等，以此来判断是否同一个网页所调用
include_once(dlyz.php);
include_once(../conn.php);
if($_get[act])
{
if (!isset($_session[post_id]))
{
         // 生成唯一的id，并使用md5来加密
         $post_id = md5(uniqid(rand(), true));
         // 创建session变量
         $_session[post_id] = $post_id;
}
// 检查是否相等
if (isset($_session[post_id]))
{
         // 不相等
         if ($_session[post_id] != $_post[post_id])
         {
                  // 清除post变量
                  unset($_post);
                  echo ;
         }
}
……
使用post，不要使用get
传递表单字段时，一定要是用post，不要使用get，处理变量也不要直接使用$_request
http响应拆分
http请求的格式
1）请求信息：例如“get /index.php http/1.1”，请求index.php文件
2）表头：例如“host: localhost”，表示服务器地址
3）空白行
4）信息正文
“请求信息”和“表头”都必须使用换行字符（crlf）来结尾，空白行只能包含换行符，不可以有其他空格符。
下面例子发送http请求给服务器www.yhsafe.com
get /index.php http/1.1↙        //请求信息   
host:www.yhsafe.com↙      //表头
↙                                                     //空格行
↙
    ↙符号表示回车键，在空白行之后还要在按一个空格才会发送http请求，http请求的表头中只有host表头是必要的饿，其余的http表头则是根据http请求的内容而定。
http请求的方法
1）get：请求响应
2）head：与get相同的响应，只要求响应表头
3）post：发送数据给服务器处理，数据包含在http信息正文中
4）put：上传文件
5）delete：删除文件
6）trace：追踪收到的请求
7）options：返回服务器所支持的http请求的方法
8）connect：将http请求的连接转换成透明的tcp/ip通道
http响应的格式
服务器在处理完客户端所提出的http请求后，会发送下列响应。
1）第一行是状态码
2）第二行开始是其他信息
状态码包含一个标识状态的数字和一个描述状态的单词。例如：
http/1.1 200 ok
200是标识状态的是数字，ok则是描述状态的单词，这个状态码标识请求成功。
http请求和响应的例子
打开cmd输入telnet，输入open www.00aq.com 80
打开连接后输入
get /index.php http/1.1↙      
host:www.00aq.com↙     
↙                                               
↙
返回http响应的表头
返回的首页内容
使用php来发送http请求
header函数可以用来发送http请求和响应的表头
函数原型
void header(string string [, bool replace [, int http_response_code]])