什麼是語義URL 攻擊?
好奇心是很多攻擊者的主要動機,語義URL 攻擊就是一個很好的例子。此類攻擊主要包括對URL 進行編輯以期發現一些有趣的事情。
例如,如果使用者chris 點擊了你的軟體中的一個連結併到達了頁面http://example.org/private.php?user=chris, 很自然地他可能會試圖改變user的值,看看會發生什麼。例如,他可能訪問http://example.org/private.php?user=rasmus 來看一下他是否能看到其他人的資訊。雖然對GET 資料的操縱只是比對POST 資料稍為方便,但它的暴露性決定了它更為頻繁的受攻擊,特別是對於攻擊的新手而言。
大多數的漏洞是由於疏漏而產生的,而不是特別複雜的原因引起的。雖然很多有經驗的程式員能輕易地意識到上面所述的對URL 的信任所帶來的危險,但是常常要到別人指出才恍然大悟。
為了更好地示範語義URL 攻擊及漏洞是如何被疏忽的,以一個Webmail 系統為例,該系統主要功能是使用者登入察看他們自己的郵件。
任何基於使用者登入的系統都需要一個密碼找回機制。通常的方法是詢問一個攻擊者不可能知道的問題(如你的電腦的品牌等,但如果能讓使用者自己指定問題和答案更佳),如果問題回答正確,則把新的密碼發送到註冊時指定的郵件地址。
對於一個Webmail 系統,可能不會在註冊時指定郵件地址,因此正確回答問題的使用者會被提示提供一個郵件地址(在向該郵件地址發送新密碼的同時,也可以收集備用郵件地址資訊)。下面的表單即用於詢問一個新的郵件地址,同時他的帳戶名稱存在表單的一個隱藏欄位中: 複製代碼 代碼如下:<input type="hidden" name="user" value="chris" />
<p>Please specify the email address where you want your new password sent:
<input type="text" name="email" />
<input type="submit" value="Send Password" />
</form>
可以看出,接收指令碼reset.php 會得到所有資訊,包括重設哪個帳號的密碼、並給出將新密碼發送到哪一個郵件地址。
如果一個使用者能看到上面的表單(在回答正確問題後),你有理由認為他是chris 帳號的合法擁有者。如果他提供了chris@example.org 作為備用郵件地址,在提交後他將進入下面的URL:
http://example.org/reset.php?user=chris&email=chris%40example.org
該URL 出現在瀏覽器欄中,所以任何一位進行到這一步的使用者都能夠方便地看出其中的user和mail 變數的作用。當意思到這一點後,這位使用者就想到php@example.org 是一個非常酷的地址,於是他就會訪問下面連結進行嘗試:
http://example.org/reset.php?user=php&email=chris%40example.org
如果reset.php 信任了使用者提供的這些資訊,這就是一個語義URL 攻擊漏洞。在此情況下,系統將會為php 帳號產生一個新密碼並發送至chris@example.org,這樣chris 成功地竊取了php 帳號。
如果使用session 跟蹤,可以很方便地避免上述情況的發生: 複製代碼 代碼如下:<?php
session_start();
$clean = array();
$email_pattern = '/^[^@\s<&>]+@([-a-z0-9]+\.)+[a-z]{2,}$/i';
if (preg_match($email_pattern, $_POST['email']))
{
$clean['email'] = $_POST['email'];
$user = $_SESSION['user'];
$new_password = md5(uniqid(rand(), TRUE));
if ($_SESSION['verified'])
{
/* Update Password */
mail($clean['email'], 'Your New Password', $new_password);
}
}
?>
儘管上例省略了一些細節(如更詳細的email 資訊或一個合理的密碼),但它示範了對使用者提供的帳戶不加以信任,同時更重要的是使用session 變數為儲存使用者是否正確回答了問題($_SESSION['verified']),以及正確回答問題的使用者($_SESSION['user'])。正是這種不信任的做法是防止你的應用產生漏洞的關鍵。
其實,只要記住以下的原則就行了!
不要相信任何使用者的輸入(也就是對使用者的輸入做檢測,雖然,寫起來比較麻煩,但總比出了問題在解決要來的及時吧!)