每日好文

作者：[I.T.S]Jambalaya 来源：安全焦点    前言： 我在和很多网管谈到WEB安全的时候，很多人告诉我WEB安全就是sql injection,“不就是在一个变量后面嵌入你的sql语句么，这个我也会”，这是我听到最多的人们对WEB安全的认识，WEB安全难道仅仅是sql injection，当然不是！sql injection只不过是冰山一角罢了。认为注入就是WEB安全全部的人们阿，睁大你的眼睛，看我用实际行动给你一击响亮的耳光吧！ 描述： 最近在读WDB论坛，这个论坛很好看，风格华美而且和LB5有一点相像，但是安全性实在是不敢恭维，如果我说平均5个文件就有一个漏洞，那是一点都不夸张，虽然作者好像已经有意的作了一些防范，但是过滤不是非常严格。导致恶意用户或者非典型恶意用户可以写入自己的代码，然后可以执行自己语句进而控制整个系统。 一、topsys.php全局变量未初始化导致控制整个论坛 1、漏洞分析 topsys.php是管理员用来集中管理论坛总制顶贴子的文件，这个文件可用来对论坛帖子实现总制顶，清空，删除等操作， 就是这样的小小的文件，由于编程人员对其中的个别变量没有初始化，却带来了可以控制整个论坛，甚至整个控制系统的危害。 让我们先看看，要如何绕开限制先，部分代码如下： =========codz begin=========== 13 if ($login_status==1 && ($username==$admin_name ||($manager && in_array($username,$manager)))) {$announceadmin=1;} 14 //----让增加的管理员有权管理！---------- 15 if (file_exists("datafile/admin_user.php")) { 16 include("datafile/admin_user.php"); 17 if ($admin_user && in_array($username,$admin_user)) { 18 $announceadmin=1; 19 } 20 } 21 //----让增加的管理员有权管理！---------- 22 $musia=0; 23 if ($announceadmin==1) $musia=1; =========codz endz============ 我们从第13行的检查可以看出来，他这段代码就是为了判定是不是有管理员权限，如果有的话则设定$announceadmin变量为1，好，后面管理员没忘记初始化一下$musia,然后检查$announceadmin变量是不是为1，如果为1，再设定$musia变量为真。这里我们先不管，往后面看。 再来看一段代码： =========codz begin=========== 150 if ($job=="write") { 151 if ($announceadmin!=1) {require("header.php"); 152 echo "对不起，未登陆或者身份不正确,请 返回检查"; 153 require("footer.php"); 154 exit;} //后面进行制顶操作...... =========codz endz============ 程序是如何验证管理员身份呢？编程人员就凭借了一个值来进行判断。他这里检查announceadmin变量是否为1，如果不为1，则报错说身份不正确（不是管理员）。好了，回过头去看一下，刚才那看似严密的验证，你想到什么了没有？大家可能都发现了，那个用来检查是否有管理员权限的值却并没有做初始化，那么如果我们直接构造语句提交$announceadmin=1。我们就可以用管理员权限来发布、删除制顶的帖子。我们来试试看，提交 http://bbs.target.com/topsys.php?announceadmin=1 我们已经能看出来和刚才有什么不一样了，多了管理员的管理模块，好我们找个贴子制顶，提交URL如下： http://bbs.target.com/topsys.php?announcea...tent=hello,this is Jambalaya &title=wdbread.php?forumid=1&filename=f_27,我们这里把第一个论坛的第27个贴子，标题为"hello,this is Jambalaya"的贴子制顶了。回车看看，哈哈，我们成功了

不能说的xs